Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
Eidgenössisches Justiz- und Polizeidepartement EJPD Bundesamt für Justiz BJ Direktionsbereich Öffentliches Recht Fachbereich Rechtsetzungsprojekte I
Bern, 23. Juni 2021
Totalrevision der Verordnung zum Bundesge- setz über den Datenschutz Erläuternder Bericht zur Eröffnung des Vernehmlassungsverfahrens
BJ-D-DB3D3401/217
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Projekte von Bundesorganen zur automatisierten Bearbeitung von
6.4 Verordnung vom 4. Dezember 2009 über verwaltungspolizeiliche
Massnahmen des Bundesamtes für Polizei und über das Informationssystem
6.5 Verordnung vom 16. August 2017 über die Informations- und
Speichersysteme des Nachrichtendienstes des Bundes.............................. 52 2/87
BJ-D-DB3D3401/217
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.22 Verordnung vom 12. Februar 2020 über das öffentliche Beschaffungswesen .. 58
6.33 Verordnung vom 9. Dezember 2011 über das Informationssystem EDAssist+ . 60
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.57 Verordnung vom 30. Juni 1993 über das Betriebs- und Unternehmensregister 69
6.60 Verordnung vom 4. Dezember 2009 über den Nachrichtendienst der Armee ... 69
6.70 Verordnung 4. April 2007 über den Einsatz von Bildaufnahme-,
Bildaufzeichnungs- und anderen Überwachungsgeräten durch die
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.129 Verordnung vom 26. Juni 2013 über die Meldepflicht und die Nachprüfung
der Berufsqualifikationen von Dienstleistungserbringerinnen und -erbringern
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
1 Grundzüge der Vorlage
1.1 Ausgangslage
Aufgrund einer Evaluation des Bundesgesetzes vom 19. Juni 1992 1 über den Datenschutz (DSG) und mit Blick auf die technologische Entwicklung und das weiterentwickelte EU-Recht beschloss der Bundesrat, das Datenschutzrecht des Bundes teilweise zu revidieren. Am 15. September 2017 verabschiedete er die Botschaft zum Bundesgesetz über die Totalrevi- sion des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Da- tenschutz 2. Die Vorlage umfasst zum einen eine Totalrevision des DSG (E-DSG), zum an- dern eine Teilrevision weiterer Bundesgesetze, womit insbesondere auch die Richtlinie (EU) 2016/680 3 umgesetzt werden soll. Das Parlament hat die Vorlage des Bundesrates in zwei Etappen aufgeteilt. In der ersten Etappe wurde nur die Schengen-relevante Richtlinie (EU) 2016/680 zum Datenschutz in Strafsachen umgesetzt. Das Bundesgesetz vom 28. Septem- ber 2018 4 über den Datenschutz im Rahmen der Anwendung des Schengen-Besitzstands in Strafsachen (SDSG) ist am 1. März 2019 in Kraft getreten. In einer zweiten Etappe hat das Parlament das neue Datenschutzgesetz (nDSG) beraten und am 25. September 2020 verab- schiedet 5.
1.2 Darstellung des nDSG
Das nDSG regelt die Bearbeitung von Personendaten natürlicher Personen durch private Personen und durch Bundesorgane (Art. 2 Abs. 1). Nicht anwendbar ist es indessen auf Per- sonendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbei- tet (Art. 2 Abs. 2 Bst. a). Ausgenommen sind auch Personendaten, die von den eidgenössi- schen Räten und den parlamentarischen Kommissionen im Rahmen ihrer Beratungen bear- beitet werden (Art. 2 Abs. 2 Bst. b), sowie Personendaten, die von institutionell Begünstigten, die in der Schweiz Immunität von der Gerichtsbarkeit geniessen, bearbeitet werden (Art. 2 Abs. 2 Bst. c). Das anwendbare Verfahrensrecht regelt die Bearbeitung von Personendaten und die Rechte der betroffenen Personen in Gerichtsverfahren und in Verfahren nach bun- desrechtlichen Verfahrensordnungen. Auf erstinstanzliche Verwaltungsverfahren sind dage- gen die Bestimmungen des nDSG anwendbar (Art. 2 Abs. 3). Die öffentlichen Register des Privatrechtsverkehrs werden vorwiegend durch die Spezialbestimmungen des anwendbaren Bundesrechts geregelt (Art. 2 Abs. 4). Das Parlament ergänzte einen Artikel zum räumlichen Geltungsbereich des nDSG (Art. 3). Dieser präzisiert, dass das Gesetz auch für im Ausland veranlasste Sachverhalte gilt, wenn sie sich in der Schweiz auswirken. Zudem wird darin auf das Bundesgesetz vom 18. Dezember 19876 über das Internationale Privatrecht (IPRG) ver- wiesen. Artikel 4 umschreibt die Funktion des Eidgenössischen Datenschutz- und Öffentlich- keitsbeauftragten (EDÖB).
Das zweite Kapitel enthält allgemeine Bestimmungen zur Bearbeitung von Personendaten.
Artikel 5 enthält einen Begriffskatalog. Hervorzuheben ist, dass im neuen Gesetz der Begriff «Inhaber der Datensammlung» durch «Verantwortlicher» ersetzt wird (Art. 5 Bst. j nDSG).
Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verar- beitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. L 119 vom 4.5.2016, S. 89. 4 SR 235.3
5 BBl 2020 7639
6 SR 291
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Der Begriff «Profiling mit hohem Risiko» wurde später von den eidgenössischen Räten einge- führt (Art. 5 Bst. g).
Artikel 6 legt einige allgemeine Grundsätze fest. Personendaten müssen rechtmässig bear- beitet werden (Art. 6 Abs. 1). Die Bearbeitung muss nach Treu und Glauben erfolgen und ver- hältnismässig sein (Art. 6 Abs. 2). Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden (Art. 6 Abs. 3). Die Daten müs- sen vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind (Art. 6 Abs. 4). Wer Personendaten bearbeitet, muss sich über deren Rich- tigkeit vergewissern (Art. 6 Abs. 5). Der Verantwortliche und der Auftragsbearbeiter sind ver- pflichtet, Personendaten durch Technik und datenschutzfreundliche Voreinstellungen zu schützen («privacy by design and by default»; Art. 7) und die Datensicherheit zu gewährleis- ten (Art. 8). Aufgrund von Artikel 10 können Verantwortliche eine Datenschutzberaterin oder einen Datenschutzberater ernennen. Überdies müssen sie ein Verzeichnis der Bearbeitungs- tätigkeiten erstellen (Art. 12).
Artikel 9 regelt die Datenbearbeitung durch Auftragsbearbeiter. Das nDSG kodifiziert das In- strument der Verhaltenskodizes (Art. 11).
Im 2. Kapitel hat das Parlament einen zusätzlichen Abschnitt eingefügt. Er bezieht sich auf die Datenbearbeitung durch private Verantwortliche mit Sitz oder Wohnsitz im Ausland. In Ar- tikel 14 wird der Begriff «Vertretung» eingeführt. Die Pflichten der Vertretung sind in Artikel 15 festgelegt.
Der 3. Abschnitt des 2. Kapitels behandelt die Bekanntgabe von Personendaten ins Ausland. Personendaten dürfen nur ins Ausland bekanntgegeben werden, wenn der Bundesrat festge- stellt hat, dass der betreffende Staat oder das betreffende internationale Organ einen ange- messenen Schutz bietet (Art. 16). Artikel 17 sieht allerdings verschiedene Ausnahmen vor.
Das 3. Kapitel regelt die Pflichten des Verantwortlichen und des Auftragsbearbeiters. Es prä- zisiert die Pflicht, bei der Beschaffung von Personendaten die betroffenen Personen zu infor- mieren (Art. 19 und 20). In Artikel 21 wird eine neue Informationspflicht bei automatisierten Einzelentscheiden eingeführt, in Artikel 22 die Pflicht, eine Datenschutz-Folgenabschätzung zu erstellen. Der Verantwortliche muss zudem vor der Datenbearbeitung die Stellungnahme des EDÖB einholen, wenn die Datenschutz-Folgenabschätzung ergibt, dass die geplante Be- arbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat (Art. 23). Ausserdem muss der Verantwortliche dem EDÖB eine Verletzung der Datensicherheit mel- den, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt (Art. 24).
Die Rechte der betroffenen Person sind im 4. Kapitel festgelegt. Das Auskunftsrecht und des- sen Einschränkungen sind in den Artikeln 25–27 geregelt. Das Recht auf Datenportabilität und dessen Einschränkungen wurden vom Parlament eingeführt (Art. 28 und 29).
Das 5. Kapitel enthält eine Reihe von Bestimmungen zur Datenbearbeitung durch Private. So dürfen private Personen, die Personendaten bearbeiten, die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 30 Abs. 1). Insbesondere dürfen sie Personen- daten nicht entgegen den Grundsätzen nach den Artikeln 6 und 8 nDSG oder entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeiten, sofern nicht ein Recht- fertigungsgrund vorliegt (Art. 30 Abs. 2 Bst. a und b sowie Art. 31). Schliesslich regelt dieses
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Kapitel auch die zivilrechtlichen Ansprüche, die Geschädigte geltend machen können (Art. 32).
Ein sechstes Kapitel (Art. 33–42) regelt die Datenbearbeitung durch Bundesorgane. Diese dürfen Personendaten grundsätzlich nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 34 Abs. 1). Artikel 41 regelt die Rechtsansprüche, die betroffene Personen ge- genüber einem für die Bearbeitung von Personendaten verantwortlichen Bundesorgan gel- tend machen können.
Organisation und Kompetenzen des EDÖB sind im 7. Kapitel festgelegt. Die Leiterin oder der Leiter des EDÖB (die oder der Beauftragte) wird von der Bundesversammlung gewählt (Art. 43 Abs. 1). Dieses neue Verfahren haben die eidgenössischen Räte eingeführt. Amts- dauer, Wiederwahl und Beendigung der Amtsdauer sind in Artikel 44 geregelt, die Ausübung von Nebenbeschäftigungen in Artikel 47. Bestimmungen zum Budget des EDÖB (Art. 45) und zu den Unvereinbarkeiten mit dem Amt der oder des Beauftragten (Art. 46) wurden vom Par- lament eingefügt. In Artikel 48, der letzten Bestimmung dieses 1. Abschnitts über die Organi- sation des EDÖB, geht es um die Selbstkontrolle des EDÖB. Der 2. Abschnitt regelt die Un- tersuchungen, die der EDÖB führen kann. Vorgesehen ist, dass der EDÖB von Amtes wegen oder auf Anzeige hin eine Untersuchung gegen ein Bundesorgan oder eine private Person eröffnet, wenn genügend Anzeichen bestehen, dass eine Datenbearbeitung gegen die Daten- schutzvorschriften verstossen könnte (Art. 49 Abs. 1). Der EDÖB hat bestimmte Befugnisse (Art. 50) und kann Verwaltungsmassnahmen ergreifen (Art. 51). Der 3. Abschnitt enthält Best- immungen zur Amtshilfe zwischen dem EDÖB und anderen schweizerischen (Art. 54) oder ausländischen Behörden (Art. 55). Das nDSG weist dem EDÖB weitere Aufgaben zu (Art. 56–58), insbesondere auch das Führen eines Registers der Bearbeitungstätigkeiten der Bundesorgane (Art. 56). Für einige Dienstleistungen erhebt der EDÖB von privaten Personen Gebühren (Art. 59).
Das nDSG enthält einen Katalog von Strafbestimmungen, die bei der Verletzung verschiede- ner gesetzlicher Pflichten anwendbar sind (Kap. 8, Art. 60–66), sowie eine Reihe von Schlussbestimmungen (Kap. 10, Art. 68–74), darunter insbesondere auch die Übergangsbe- stimmung betreffend Daten juristischer Personen (Art. 71), die für die Anpassung der sektori- ellen Verordnungen wichtig ist (vgl. Anhang 2 E-VDSG).
1.3 Revision weiterer Bundesgesetze
Die Totalrevision des DSG zieht die Änderung zahlreicher sektorieller Gesetze nach sich. Aufgrund der Revision des VDSG (E-VDSG) müssen auch mehrere Verordnungen geändert werden.
1.4 Rechtliche Aspekte
Die Verordnung zum Bundesgesetz über den Datenschutz ist eine Ausführungsverordnung zum Datenschutzgesetz, welches am 25. September 2020 vom Parlament revidiert wurde. In diesem Sinn entspricht sie dem Gesetz und es kann in Bezug auf die rechtlichen Aspekte auf die Erläuterungen in der Botschaft (siehe BBl 2017 6941, insbesondere 7184 ff.) verwiesen werden.
2 Leitlinien der Revision der VDSG
Nachfolgend werden die zentralen Neuerungen des E-VDSG kurz skizziert.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
2.1 Datensicherheit
Artikel 8 Absatz 3 nDSG verpflichtet den Bundesrat, Mindestanforderungen an die Datensi- cherheit zu definieren. Die neuen Regelungen knüpfen an den geltenden Standard der Da- tensicherheit von Artikel 8 ff. VDSG an. Die Vorschriften wurden aber überarbeitet und er- gänzt, um sie auf den heutigen Stand der Technik abzustimmen und um den Vorgaben der Schengen-relevanten Richtlinie (EU) 2016/680 zu genügen. Es wurde aber auch Wert auf die Kompatibilität mit der DSGVO gelegt, damit Schweizer Unternehmen, die in der EU tätig sind und eine gemäss der DSGVO konforme Datensicherheit gewährleisten, auch in der Schweiz davon ausgehen können, dass sie die Mindestanforderungen erfüllen.
Wie bereits in Artikel 8 Absatz 1 nDSG angelegt, der von einer dem Risiko angemessenen Datensicherheit spricht, gibt die Verordnung nicht starre Mindestanforderungen vor, die für alle gleichermassen gelten, da eine solche Regelung nicht praktikabel wäre. Stattdessen wird auch hier der risikobasierte Ansatz verfolgt: Der Verantwortliche hat die angemessenen Massnahmen anhand des jeweiligen Risikos zu bestimmen. Die Verordnung führt dabei aus, welche Kriterien bei dieser Beurteilung zu beachten sind und gibt durch die Aufzählung von Schutzzielen Leitlinien vor, wie diese Massnahmen ausgestaltet werden sollten (Art. 1 und 2 E-VDSG).
Weiter wurde die Protokollierungspflicht ausgebaut und konkretisiert (Art. 3 E-VDSG). So müssen private Verantwortliche neu alle automatisierten Bearbeitungen von Personendaten, bei denen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Per- sonen besteht, protokollieren. Bundesorgane müssen alle automatisierten Bearbeitungen von Personendaten protokollieren. Zudem wird die Aufbewahrungsfrist von einem Jahr auf zwei Jahre erhöht.
Weiter werden die privaten Verantwortlichen und die Bundesorgane weiterhin verpflichtet, in gewissen Fällen ein Bearbeitungsreglement zu erstellen (Art. 4 f. E-VDSG).
2.2 Bekanntgabe von Personendaten ins Ausland
Der Abschnitt zur Bekanntgabe von Personendaten ins Ausland wurde von Grund auf geän- dert, da nach dem nDSG nun der Bundesrat festlegt, welche Staaten oder internationalen Or- gane einen angemessenen Datenschutz gewährleisten. Daher regelt die Verordnung neu die Kriterien, welche der Bundesrat bei seinem Entscheid berücksichtigt (Art. 8 E-VDSG). Im An- hang 1 sind dann tabellarisch diejenigen Staaten und internationalen Organe aufgeführt, wel- che über ein angemessenes Datenschutzniveau verfügen. Diese Angemessenheitsliste ist zurzeit noch nicht definitiv, da die Angemessenheitsbeschlüsse der Europäischen Kommis- sion und die Entwicklungen bei den Ratifikationen des revidierten Übereinkommens SEV 108 abgewartet werden. Diese Faktoren sind insbesondere im Hinblick auf einen einheitlichen Da- tenschutzraum wichtig und daher im Rahmen der Angemessenheitsprüfungen des Bundesra- tes zu berücksichtigen. Die Angemessenheitsliste bzw. das Schutzniveau der Staaten oder internationalen Organe wird zudem auch nach dem Inkrafttreten der Verordnung periodisch neu beurteilt (Art. 8 Abs. 3 E-VDSG).
Des Weiteren werden die in Artikel 16 Absatz 2 nDSG genannten weiteren Möglichkeiten zur Gewährleistung eines geeigneten Datenschutzes (z. B. Standarddatenschutzklauseln) in der Verordnung inhaltlich konkretisiert (Art. 9 ff. E-VDSG).
Schliesslich wurde von der Delegation in Artikel 16 Absatz 3 nDSG, wonach andere geeig- nete Garantien vorgesehen werden können, Gebrauch gemacht. So dürfen ebenfalls Perso- nendaten bekanntgegeben werden, wenn das angemessene Datenschutzniveau durch einen Verhaltenskodex oder eine Zertifizierung gewährleistet wird (Art. 12 E-VDSG). 10/87
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
2.3 Auskunftsrecht
Wie nach heutigem Recht, muss das Auskunftsbegehren grundsätzlich in schriftlicher Form gestellt werden. Das Auskunftsrecht wird für den Gesuchsteller zukünftig aber insofern etwas niederschwelliger ausgestaltet, indem das Auskunftsbegehren mit dem Einverständnis des Verantwortlichen auch in mündlicher Form gestellt werden kann.
Weitere Ausführungsbestimmungen zum Auskunftsrecht wurden teilweise aus dem alten Recht übernommen. So wurde die Bestimmung zur Frist für die Auskunftserteilung nur termi- nologisch und systematisch angepasst (Art. 22 E-VDSG). Auch die Ausnahmen von der Kos- tenlosigkeit des Auskunftsrechts (Art. 23 E-VDSG) bleiben dieselben, abgesehen davon, dass die Ausnahme des fehlenden schutzwürdigen Interesses gestrichen wurde, da diese ge- mäss Artikel 26 Absatz 1 Buchstabe c nDSG nun sogar einen Grund zur Verweigerung der Auskunft darstellt.
Nicht in den E-VDSG wurde hingegen die Auskunft über Daten verstorbener Personen über- nommen, da deren Regelung in der Verordnung nicht stufengerecht war und ein entspre- chender Gesetzesartikel im E-DSG vom Parlament abgelehnt wurde.
Mit der Revision wurde auf Gesetzesstufe neu ein Recht auf Datenherausgabe und -übertra- gung eingeführt. Dabei sollen die meisten Ausführungsbestimmungen des Auskunftsrechts sinngemäss auch auf dieses Recht angewendet werden (Art. 24 E-VDSG).
2.4 Datenschutzberaterin bzw. Datenschutzberater
Die bisherigen Bestimmungen zum Datenschutzverantwortlichen (Art. 12a und 12b VDSG) sowie zum Berater für den Datenschutz in den Departementen und der Bundeskanzlei (Art. 23 VDSG) werden durch diejenigen der Datenschutzberaterin bzw. des Datenschutzbe- raters ersetzt. Dabei gibt es jeweils eine separate Norm für den privaten Verantwortlichen (Art. 25 E-VDSG) und die Bundesorgane (Art. 27 ff. E-VDSG).
Da die Anforderungen an die Beraterin bzw. den Berater und deren Hauptaufgaben beim pri- vaten Verantwortlichen bereits in Artikel 10 nDSG geregelt werden, beschränkt sich die Ver- ordnungsbestimmung hauptsächlich auf die nähere Konkretisierung der Aufgaben.
Hingegen wird die Regelung der Beraterin bzw. des Beraters der Bundesorgane dem Bun- desrat überlassen. Dabei sollen neu nicht nur die einzelnen Departemente und die Bundes- kanzlei, sondern grundsätzlich jedes Bundesorgan eine Beraterin oder einen Berater bezeich- nen. Damit aber insbesondere bei kleineren Bundesorganen und solchen mit spezieller Orga- nisationsstruktur keine sinnvollen und ressourceneinsparenden Synergien verloren gehen, können mehrere Bundesorgane gemeinsam eine Datenschutzberaterin oder einen Daten- schutzberater bezeichnen. Die Anforderungen an sie oder ihn wurden, soweit auf Bundesor- gane sinnvoll anwendbar, gleich geregelt wie beim privaten Verantwortlichen und auch die Aufgaben sind, soweit vergleichbar, dieselben.
2.5 Ausnahme von der Pflicht zur Führung eines Verzeichnisses der
Bearbeitungstätigkeiten Um KMU, die nicht risikobehaftete Datenbearbeitungen vornehmen, administrativ zu entlas- ten, wurde dem Bundesrat in Artikel 12 Absatz 5 nDSG delegiert, Ausnahmen von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitenden vorzusehen. Die Verordnung knüpft die Ausnahme an einen Negativ- katalog, welcher die risikobehafteten Datenbearbeitungen (bspw. die umfangreiche Bearbei-
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
tung besonders schützenswerter Personendaten) aufzählt (Art. 26 E-VDSG). Der Katalog ori- entiert sich dabei an der Umschreibung des Begriffs des hohen Risikos bei der Datenschutz- Folgenabschätzung in Artikel 22 Absatz 2 nDSG.
2.6 EDÖB Auch wenn sich beim EDÖB aus dem nDSG mehrere grundlegende Änderungen ergeben, konnten die Bestimmungen zum Sitz sowie zur Beziehung und Kommunikation mit anderen Behörden mit geringfügigen Anpassungen übernommen werden (vgl. Art. 37–39 E-VDSG). Aufgrund des geänderten Wahlverfahrens, wonach die Leiterin oder der Leiter des EDÖB (die oder der Beauftragte) inskünftig durch die Vereinigte Bundesversammlung gewählt wird (Art. 43 Abs. 1 nDSG), wird das Parlament eine Verordnung zum Arbeitsverhältnis der oder des Beauftragten ausarbeiten. Das Arbeitsverhältnis des ständigen Sekretariats des EDÖB wird dagegen weiterhin in der VDSG geregelt und soll sich wie bisher nach dem Bundespersonal- gesetz vom 24. März 2000 7 (BPG) und nach dessen Vollzugsbestimmungen bestimmen (Art. 37 Abs. 2 E-VDSG).
Ausführlicher geregelt wird neu die gesetzliche Grundlage für die Datenbearbeitungen des EDÖB (Art. 40 E-VDSG), die bis anhin nur in allgemeiner Weise in Zusammenhang mit dem Geschäftsverwaltungssystem vorlag. Weiter schreibt Artikel 48 nDSG vor, dass der EDÖB eine Selbstkontrolle einrichten muss, damit die Einhaltung der Datenschutzvorschriften inner- halb der Behörde gewährleistet ist. In der Verordnung werden diese Kontrollmassnahmen de- finiert (Art. 41 E-VDSG): So hat der EDÖB ein Bearbeitungsreglement für sämtliche seiner automatisierten Bearbeitungen zu erstellen, wobei er jährlich überprüft, ob das Bearbeitungs- reglement eingehalten wird.
3 Auswirkungen
3.1 Finanzielle und personelle Auswirkungen auf den Bund und die Kantone
Eigenständige Auswirkungen auf den Bund aus dem E-VDSG ergeben sich nur im Rahmen der Delegationsnormen aus dem nDSG:
− Bei den Verantwortlichen resultiert aus den angepassten Mindestanforderungen an die Da- tensicherheit ein gewisser Umsetzungsaufwand. Dieser ist aber generell als eher gering an- zusehen, da die grundsätzliche Regelung aus dem bisherigen Recht übernommen wurde und nur punktuell angepasst wurde. Zu zusätzlichen Kosten führen dabei insbesondere die Erweiterung der Protokollierungspflicht sowie die Anpassung der Aufbewahrungsdauer der Protokolle von einem auf zwei Jahre, da hierfür einmalige Systemanpassungen vorgenom- men werden müssen und etwas mehr Speicherplatz benötigt wird. − Zu einem gewissen Mehraufwand kann auch der Umstand führen, dass neu grundsätzlich jedes Bundesorgan eine Datenschutzberaterin oder einen Datenschutzberater ernennen muss. Allerdings entspricht dies einer bereits heute schon weitgehend gelebten Praxis, da eine Vielzahl der Bundesämter bereits heute über eine Datenschutzberaterin oder einen Datenschutzberater verfügt, was den Aufwand begrenzt. Unter Umständen müssen ge- wisse Bundesorgane ihren Datenschutzberatenden inskünftig allerdings mehr Ressourcen zur Verfügung stellen, da deren Anforderungs- und Aufgabenprofil umfassender geregelt ist als im geltenden Recht. Dabei lässt sich nicht generell beziffern, wie hoch der zusätzliche Ressourcenbedarf bei den einzelnen Bundesorganen ausfällt. Dieser kann stark variieren, je nach Grösse eines Bundesorgans (u. U. Möglichkeit eines gemeinsamen Datenschutz- beraters) und dessen Aufgaben. So ist davon auszugehen, dass der Ressourcenbedarf
7 SR 172.220.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
etwa bei einem Bundesorgan, dessen Kerntätigkeit die Datenbearbeitung darstellt oder wel- ches regelmässig besonders schützenswerte Personendaten bearbeiten muss, höher sein wird, als bei einem Bundesorgan, das Personendaten hauptsächlich im Rahmen der allge- meinen administrativen Tätigkeiten bearbeitet und nicht im Rahmen seiner Haupttätigkeit. Im Gegenzug kann eine Stärkung der Datenschutzberaterinnen und -berater zu einer ge- wissen Entlastung des EDÖB beitragen.
Beim Bund ergeben sich insbesondere finanzielle und personelle Auswirkungen auf den EDÖB, da dieser durch das nDSG mehrere neue Aufgaben wahrzunehmen hat, sowie in et- was geringerem Ausmass auf das BJ, welches insbesondere mit der Prüfung des Daten- schutzniveaus von anderen Staaten und internationalen Organen eine zusätzliche Aufgabe erhält. Die Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (BBl 2017 6941, 7171 ff.) sieht daher auch zusätzliche Ressourcen für den EDÖB und das BJ vor. Die Ressourcenanträge für den EDÖB und das BJ wurden dem Bundesrat in einem se- paraten Antrag vorgelegt.
Die Kantone und Gemeinden sind von der Vorlage nicht betroffen. Vom Geltungsbereich des nDSG und somit auch der E-VDSG sind nur private Personen und Bundesorgane erfasst (Art.
2 Abs. 1 nDSG).
3.2 Auswirkungen auf die Volkswirtschaft
Auswirkungen auf Unternehmen ergeben sich hauptsächlich aus der Totalrevision des DSG. Diese Auswirkungen wurden in der zum DSG durchgeführten Regulierungsfolgenabschät- zung 8 berücksichtigt und dargelegt. Eigenständige Auswirkungen durch den Entwurf zur VDSG, welche in der RFA zum DSG noch nicht untersucht wurden, sind primär bei der Da- tensicherheit zu erwarten (unter anderem bei den neuen Vorgaben zur Protokollierung). Vo- raussichtlich sind diese Auswirkungen insgesamt von eher geringer Relevanz, da die konkre- ten Vorgaben für die Unternehmen im Vergleich zum geltenden Recht nur leicht angepasst werden. Es ist von einem gewissen anfänglichen Umsetzungsaufwand auszugehen. Dabei ist zu berücksichtigen, dass sich der Aufwand nach den Risiken, welche die Datenbearbeitungen eines Unternehmens mit sich bringen, richtet. Unternehmen mit einer geringeren daten- schutzrechtlichen Exponierung müssen weniger Massnahmen treffen als Unternehmen mit grosser datenschutzrechtlicher Exponierung. Dieser Regelungsansatz belässt den Unterneh- men gewisse Handlungsspielräume.
Weiter ist die Verabschiedung der Totalrevision der VDSG auch mit Blick auf die Gesamtwirt- schaft von Bedeutung, denn das Inkrafttreten des neuen Datenschutzrechts ist wichtig mit Blick auf die derzeit laufende Evaluation der Schweiz durch die Europäische Kommission. Die Beibehaltung des Angemessenheitsbeschlusses der EU ist für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz zentral. Denn nur, wenn die Schweiz von der EU wei- terhin als Drittstaat mit angemessenem Datenschutz anerkannt wird, können Personendaten ohne zusätzliche Hindernisse aus den EU-Mitgliedstaaten in die Schweiz bekannt gegeben werden. Ohne den Angemessenheitsbeschluss der EU (und ohne den freien Datenverkehr) wären beträchtliche Wettbewerbsnachteile für die Schweiz zu erwarten. Auch die Anpassung des schweizerischen Datenschutzrechts an das revidierte Übereinkommen SEV 108 des Eu- roparates hat für den internationalen Marktzugang eine wichtige Bedeutung. Das Interesse aussereuropäischer Staaten an einem Beitritt zum revidierten Übereinkommen SEV 108
Regulierungsfolgenabschätzung (RFA) zur Revision des eidg. Datenschutzgesetzes (DSG) vom 11. Juli 2016 (abrufbar unter: http://www.seco.admin.ch > SECO - Staatssekretariat für Wirtschaft > Publikationen & Dienstleistungen > Publikationen > Regulierung > Regulierungsfolgenabschätzung > Vertiefte RFA > Datenschutzgesetz (DSG) (2016))
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
nimmt zu, was den Datenaustausch mit diesen Ländern inskünftig ebenfalls erleichtern könnte.
Schliesslich fördert der sichere Umgang mit Personendaten das Vertrauen in digitale Techno- logien und ihre Anbieter. Mit einem verbesserten Datenschutz lässt sich also auch die Digita- lisierung stärken.
4 Erläuterungen zum E-VDSG
4.1 Allgemeine Bestimmungen
4.1.1 Datensicherheit
Die Leitplanken zur Gewährleistung der Datensicherheit werden bereits im Gesetz normiert. Gemäss Artikel 8 Absatz 1 nDSG sind der Verantwortliche und der Auftragsbearbeiter ver- pflichtet, durch geeignete technische und organisatorische Massnahmen eine dem Risiko an- gemessene Datensicherheit zu gewährleisten. Gemäss Absatz 2 müssen diese Massnahmen es ermöglichen, Verletzungen der Datensicherheit zu vermeiden. In Absatz 3 wird der Bun- desrat dazu beauftragt, die Mindestanforderungen an die Datensicherheit auf Verordnungs- stufe zu präzisieren.
Mit den Bestimmungen zur Datensicherheit erfüllt der Bundesrat den gesetzlichen Auftrag ge- mäss Artikel 8 Absatz 3 nDSG. An diese Mindestanforderungen knüpft zudem die Strafnorm in Artikel 61 Buchstabe c nDSG an. Der Grad an Sicherheit, der eingehalten werden muss, damit die Strafnorm nicht verletzt wird, bestimmt sich dabei nach den Grundsätzen und Krite- rien des vorliegenden Abschnittes. Die Strafbarkeit besteht gemäss Artikel 61 Buchstabe c nDSG nur im Fall einer vorsätzlichen Begehung. Dies setzt voraus, dass der Verantwortliche die Mindestanforderungen an die Datensicherheit wissentlich und willentlich nicht einhält. So würde sich beispielsweise derjenige strafbar machen, der es unterlässt, eine Anti-Viren-Soft- ware zu installieren, obwohl er weiss (oder zumindest in Kauf nimmt), dass er damit ungenü- gende Massnahmen zur Einhaltung der Mindestanforderungen an die Datensicherheit trifft.
Da bereits im Gesetz der Ansatz einer risikobasierten Datensicherheit verfolgt wird und sich keine allgemeingültigen Mindestanforderungen für jegliche Branchen festlegen lassen, wurde im E-VDSG auf ein starres Regime von Mindestanforderungen verzichtet. Der Ansatz des E- VDSG beruht vielmehr darauf, dass es in erster Linie in der Verantwortung des Verantwortli- chen liegt, die im Einzelfall notwendigen Massnahmen zu bestimmen und zu ergreifen. Diese sind stark einzelfallbezogen und abhängig vom jeweiligen Risiko zu bestimmen. So stellen sich etwa in einem Spital, wo regelmässig besonders schützenswerte Personendaten bear- beitet werden, in aller Regel erhöhte Anforderungen im Vergleich zur Bearbeitung von Kun- den- oder Lieferantendaten in einer Bäckerei oder Metzgerei. Der E-VDSG beinhaltet daher insbesondere die Leitlinien für die Bestimmung der zu ergreifenden Massnahmen (Art. 1 und 2 E-VDSG). Dadurch kann die angesichts der Vielfalt möglicher Fallkonstellationen notwen- dige Flexibilität gewährleistet werden und eine Überregulierung, insbesondere für Betriebe mit geringfügiger und wenig risikoreicher Datenbearbeitung, verhindert werden.
Die gemäss geltendem Recht spezifisch vorgesehenen Massnahmen der Datensicherheit werden aufrechterhalten: Dabei handelt es sich einerseits um die Protokollierung (Art. 3) und das Bearbeitungsreglement (Art. 4, 5). Der Bundesrat verfolgt auch hier einen risikobasierten Ansatz: Je höher die Gefährdung für die Persönlichkeitsrechte und die Grundrechte des Ein- zelnen, desto höher die Anforderungen.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Die Mindestanforderungen der Datensicherheit sind gemäss geltendem Recht in Artikel 8–12 und Artikel 20–21 VDSG geregelt. Der Bundesrat hat entschieden, am geltenden Standard der Datensicherheit anzuknüpfen. Die materiell-rechtlichen Vorgaben werden daher im Grundsatz so übernommen. Anpassungen werden nur vorgenommen, wo dies aufgrund der Digitalisierung bzw. des technischen Fortschritts, der Vorgaben im revidierten Gesetz oder der für die Schweiz massgeblichen Richtlinie (EU) 2016/680, namentlich deren Artikel 29, an- gezeigt scheint. Zudem hat sich der Bundesrat auch an der Verordnung (EU) 2016/679 orien- tiert, damit Schweizer Unternehmen, die in der EU tätig sind und eine gemäss der DSGVO konforme Datensicherheit gewährleisten, auch in der Schweiz davon ausgehen können, dass sie die Mindestanforderungen erfüllen.
In systematischer Hinsicht wird die Datensicherheit neu in einem eigens dafür vorgesehenen Abschnitt normiert. In der aktuellen VDSG wird die Datensicherheit für Private und Bundesor- gane getrennt geregelt, aus Gründen der Übersichtlichkeit und der besseren Lesbarkeit wer- den die Bestimmungen neu zusammengeführt. Wo unterschiedliche Vorgaben für Private und Bundesorgane gelten, werden diese in getrennten Artikeln oder Absätzen geregelt.
Art. 1 Grundsätze
Artikel 1 E-VDSG regelt die Grundsätze, die bei der Bestimmung der Massnahmen zu beach- ten sind. Im Vergleich zur bisherigen Regelung in Artikel 8 VDSG wurde die normative Dichte von Artikel 1 E-VDSG reduziert. Artikel 1 Absätze 1 und 2 E-VDSG entspricht im Wesentli- chen Artikel 8 Absätze 2 und 3 VDSG. Artikel 8 Absatz 1 VDSG wurde hingegen gestrichen, da die Ziele zur Gewährleistung der Datensicherheit neu auf Gesetzesebene angesiedelt sind. Artikel 8 Absatz 2 nDSG legt namentlich fest, dass die Massnahmen der Datensicher- heit es ermöglichen müssen, Verletzungen der Datensicherheit zu vermeiden. Eine Verlet- zung der Datensicherheit liegt gemäss Artikel 5 Buchstabe h nDSG vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Daraus lassen sich die her- kömmlichen IT-Schutzziele der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbar- keit ableiten.
Gemäss Artikel 8 Absatz 1 nDSG müssen der Verantwortliche und der Auftragsbearbeiter eine dem Risiko angemessene Datensicherheit gewährleisten. Artikel 1 Absatz 1 E-VDSG greift diesen Grundsatz auf und legt fest, welche Kriterien bei der Beurteilung der Angemes- senheit der technischen und organisatorischen Massnahmen zu berücksichtigen sind. Der Katalog der Kriterien entspricht weitgehend dem geltenden Recht, einzelne Formulierungen wurden aber angepasst.
− Zweck, Art, Umfang und Umstände der Datenbearbeitung (Bst. a): Im Rahmen von Buch- stabe a geht es insbesondere um das Schutzniveau, das angesichts der Gefährdung für die Persönlichkeitsrechte und Grundrechte Betroffener gewährleistet werden muss. Denn: Je höher der Schutzbedarf, desto höher die Anforderungen an die Massnahmen. Massgeblich ist in diesem Zusammenhang etwa der Umstand, ob besonders schützenswerte Personen- daten bearbeitet werden oder der Zweck der Bearbeitung ein erhöhtes Risiko für die Per- sönlichkeitsrechte bzw. die Grundrechte Betroffener birgt. Bei der Art der Datenbearbeitung kann auch der Aspekt des Automatisierungsgrades herangezogen werden: Der Schutzbe- darf kann zum Beispiel bei einer vollständig automatisierten Bearbeitung (namentlich der Anwendung künstlicher Intelligenz) höher einzuschätzen sein als bei Datenbearbeitungen, die von natürlichen Personen getätigt und überprüft werden. Buchstabe a wurde entspre- chend Artikel 22 Absatz 2 nDSG mit dem Ausdruck der «Umstände» der Datenbearbeitung ergänzt.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
− die Eintrittswahrscheinlichkeit einer Verletzung der Datensicherheit und deren potenzielle Auswirkungen für die betroffenen Personen (Bst. b): Buchstabe b wurde so umformuliert, dass neu explizit zum Ausdruck kommt, dass nebst den potenziellen Auswirkungen auch die Eintrittswahrscheinlichkeit einer Verletzung der Datensicherheit ausschlaggebend ist. Dabei gilt: Je wahrscheinlicher der Eintritt einer Verletzung der Datensicherheit und je grös- ser die Auswirkungen für die betroffenen Personen, desto höher die Anforderungen an die Massnahmen. An dieser Stelle sei darauf hingewiesen, dass nicht jede Verletzung der Da- tensicherheit im Sinne von Artikel 5 Buchstabe h nDSG auch eine Verletzung der Mindest- anforderungen im Sinne von Artikel 8 Absatz 3 nDSG und somit eine Verletzung der Sorg- faltspflichten gemäss Artikel 61 Buchstabe c nDSG darstellt. Eine absolute Sicherheit kann und soll nicht verlangt werden. So ist insbesondere vorstellbar, dass der Verantwortliche alle angemessenen Massnahmen getroffen hat, eine Verletzung der Datensicherheit aber dennoch eintritt, namentlich, weil sich das Restrisiko realisiert hat. Dieses kann dem Ver- antwortlichen nicht angelastet werden. Es ist im Rahmen der Mindestanforderungen viel- mehr zu prüfen, ob der Verantwortliche und der Auftragsbearbeiter angesichts der konkre- ten Sachlage die angemessenen Massnahmen zur Gewährleitung der Datensicherheit ge- troffen haben, und zwar unabhängig davon, ob eine Verletzung der Datensicherheit eintritt. − der Stand der Technik (Bst. c): Die Massnahmen sind unter Berücksichtigung des Stands der Technik zu bestimmen und ggf. anzupassen. Der Stand der Technik meint die Berück- sichtigung des gegenwärtigen Standes. Es ist also ausreichend, Massnahmen zu treffen, die bereits zur Verfügung stehen und sich entsprechend bewährt haben. Hingegen kann nicht verlangt werden, dass brandneue unerforschte Techniken oder solche die sich noch im Entwicklungsprozess befinden, eingesetzt werden. − Implementierungskosten (Bst. d): Explizit erwähnt werden in Buchstabe d neu die «Imple- mentierungskosten». Die Implementierungskosten sind – wie aus dem «Kommentar des Bundesamts für Justiz zur Vollzugsverordnung vom 14. Juni 1993 (Stand am 1. Januar 2008) zum Bundesgesetz über den Datenschutz (VDSG, RS 235.11)» (Ziff. 6.1.1) 9 hervor- geht – auch gemäss geltendem Recht ein Kriterium bei Beurteilung der Angemessenheit der Massnahmen. In erster Linie ist allerdings darauf abzustellen, welche technischen und organisatorischen Massnahmen angesichts der Kriterien in Buchstaben a–c erforderlich sind. Verantwortliche und Auftragsbearbeiter können sich insbesondere nicht mit der Be- gründung von der Pflicht einer angemessenen Datensicherheit befreien, dass damit über- mässige Kosten verbunden sind; vielmehr müssen sie jedenfalls in der Lage sein, eine an- gemessene Datensicherheit zu gewährleisten. Es kann auch nicht argumentiert werden, dass sich bei fehlendem Konzept bei der Entwicklung die Implementierungskosten zur Um- setzung der Datensicherheit nach Inbetriebnahme als zu hoch erweisen. Bei Legacy Appli- kationen muss vielmehr die geplante Zeit bis hin zur Ablösung einbezogen werden (Life- cycle). Das Kriterium der Kosten kann jedoch bedeuten, dass bei mehreren zur Verfügung stehenden Massnahmen zur Gewährleistung eines stets angemessenen Datenschutzni- veaus die kostengünstigere Variante bevorzugt werden darf. 10
Zur Gewährleistung der Datensicherheit kommen unterschiedliche Massnahmen in Betracht. Vorliegend seien beispielshaft drei Massnahmen erwähnt:
− die Anonymisierung, Pseudonymisierung und Verschlüsselung von Personendaten: Die Anonymisierung trägt insbesondere dazu bei, dass allfällig negative Auswirkungen für die
Abrufbar unter: https://www.edoeb.admin.ch/edoeb/de/home/der-edoeb/rechtliche-grundlagen.html. Siehe auch BRUNO BAERISWYL, in: Stämpfis Handkommentar, Datenschutzgesetz, 1. Auflage 2015, Nr. 26 zu Art. 7.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
betroffenen Personen reduziert werden, die sich beispielsweise durch eine unbefugte Of- fenlegung von Personendaten ergeben können. Liegt eine Anonymisierung vor, so kommt das DSG gemäss dessen Anwendungsbereich gar nicht zur Anwendung. − Verfahren zur Identifikation, Bewertung und Evaluierung der Risiken und Überprüfung der Angemessenheit der getroffenen Massnahmen: Ab einem gewissen Risiko wird es in vielen Fällen sinnvoll beziehungsweise sogar notwendig sein, dass standardisierte Verfahren und Prozesse implementiert werden, welche die Risiken und die Angemessenheit der getroffe- nen Massnahmen nicht nur regelmässig überprüfen, sondern auch bewerten und evaluie- ren. Solche Massnahmen sind insbesondere bei automatisierten Systemen bedeutsam. Sie tragen dazu bei, dass die Datensicherheit dauerhaft gewährleistet wird und auch ihr Nach- weis einfacher erbracht werden kann. − die Schulung und Beratung der mit der Umsetzung betrauten Personen: Diese Massnahme ist aus Sicht des Bundesrats bedeutsam, da die Umsetzung und Wirksamkeit der Datensi- cherheit auch insbesondere davon abhängt, ob die involvierten Personen die festgelegten Massnahmen anwenden. So kann eine fehlende Schulung und Beratung zu einer Datensi- cherheitsverletzung führen, z. B. wenn eine Mitarbeiterin oder ein Mitarbeiter eine E-Mail mit Malware öffnet.
Letztlich bleiben bei der Bestimmung der Massnahmen selbstredend die Umstände des Ein- zelfalls massgeblich. So sind die Massnahmen im Rahmen einer Abwägung der verschiede- nen vorhandenen Interessen in einer gesamtheitlichen Betrachtung zu bestimmen.
Die Massnahmen sind gemäss Artikel 1 Absatz 2 wie gemäss geltendem Recht laufend zu überprüfen und ggf. anzupassen. Insbesondere ist zu überprüfen, ob die Massnahmen noch immer dem Risiko angemessen und wirksam sind. Statt «periodisch» muss die Überprüfung neu «in angemessenen Abständen» erfolgen. Der Überprüfungsbedarf hängt insbesondere von der Gefährdungslage für die Persönlichkeitsrechte und Grundrechte Betroffener ab: Je grösser die Gefährdung, desto grösser der Überprüfungsbedarf. Die Überprüfung soll in ei- nem wiederkehrenden zeitlichen Rhythmus erfolgen, z. B. kann ein zeitliches Intervall von ei- nem bis hin zu fünf Jahren vorgesehen werden. Eine Überprüfung kann sich zusätzlich auf- drängen, wenn eine Verletzung der Datensicherheit erfolgt oder die Bearbeitung von Perso- nendaten angepasst worden ist. In Artikel 1 Absatz 2 wird ausserdem neu präzisiert, dass nicht nur die Gewährleistung der Datensicherheit, sondern auch deren Überprüfung über die gesamte Bearbeitungsdauer hinweg gewährleistet sein muss. Damit wird auch klargestellt, dass es sich bei der Datensicherheit und deren Überprüfung um eine Dauerpflicht handelt, die während des gesamten Lebenszyklus der Personendaten zu erfüllen ist.
Art. 2 Schutzziele
Artikel 2 enthält eine Auflistung der Schutzziele, auf welche die Massnahmen auszurichten sind. In Anwendung der Verhältnismässigkeit sind ausgehend davon die organisatorischen und technischen Massnahmen des Einzelfalls zu bestimmen. Die Verantwortlichen und Auf- tragsbearbeiter haben deshalb zu prüfen, mit welchen angemessenen Massnahmen sie die Schutzziele erreichen. Es ist durchaus vorstellbar, dass nicht jedes Schutzziel in jedem Fall von Relevanz ist. Ist ein Schutzziel in einem Fall nicht von Relevanz, so müssen der Verant- wortliche und Auftragsbearbeiter aber in der Lage sein, zu begründen, weshalb dies der Fall ist.
Der Artikel stellt grösstenteils eine Übernahme des Artikels 9 VDSG dar: Die Regelung steht neu unter dem Titel «Schutzziele». Im Einleitungssatz wurden der Begriff «Inhaber der Daten- sammlung» und der Passus, wonach die Massnahmen insbesondere bei automatisierten Be- arbeitungen von Bedeutung sind, gestrichen. Die bisherigen Schutzziele wurden inhaltlich
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
so übernommen, teils in leicht angepasster Form. Ausserdem wurde der Katalog mit drei neuen Schutzzielen ergänzt (Bst. i, j, k). Mit Artikel 2 E-VDSG setzt die Schweiz auch die An- forderungen von Artikel 29 der Richtlinie (EU) 2016/680 um.
Im Verordnungstext wird bei mehreren Schutzzielen auf «unbefugte» oder «berechtigte» Per- sonen Bezug genommen. Dies setzt nicht zwingend ein direktes Tätigwerden einer Person voraus. Denn darunter können auch Fälle subsumiert werden, bei denen Personendaten in Applikationen automatisiert bearbeitet werden.
− An erster Stelle normiert Buchstabe a neu die Zugriffskontrolle. Das Schutzziel wurde aus Artikel 9 Absatz 1 Buchstabe g VDSG übernommen. Zielführend ist in diesem Zusammen- hang insbesondere die Festlegung von Zugriffsberechtigungen, welche insbesondere die Art und den Umfang des Zugriffs regeln. − Buchstabe b normiert die in Artikel 9 Absatz 1 Buchstabe a VDSG verankerte Zugangskon- trolle. Demnach muss unbefugten Personen der Zugang zu den Einrichtungen und Anla- gen, in denen Personendaten bearbeitet werden, verwehrt werden. Neu enthält das Schutz- ziel auch den Begriff «Anlagen». Dadurch soll insbesondere zum Ausdruck kommen, dass auch der Zugang zu mobilen Bearbeitungsanlagen zu unterbinden ist. Der Begriff ist sehr weit gefasst und umfasst von fest angelegten Serveranlagen über Computer bis hin zu Mo- biltelefonen oder Tablets jegliche Geräte zur Bearbeitung von Personendaten. Mögliche Massnahmen sind beispielsweise Alarmanlagen und abschliessbare Serverschränke. − Buchstabe c regelt die Datenträgerkontrolle, die derzeit in Artikel 9 Absatz 1 Buchstabe b VDSG normiert ist. Diese beinhaltet, dass unbefugten Personen das Lesen, Kopieren, Ver- ändern, Verschieben oder Entfernen von Datenträgern verunmöglicht wird. Es ist insbeson- dere zu verhindern, dass Personendaten unkontrolliert auf Datenträger (z. B. Festplatten, USB-Sticks) übertragen werden können. Unter Datenträger sind dabei nicht nur physische Träger zu verstehen, sondern auch beispielsweise Cloud-Dienste. Mögliche Massnahmen sind beispielsweise die Verschlüsselung und das ordnungsgemässe Vernichten von Daten- trägern. − Buchstabe d entspricht Artikel 9 Absatz 1 Buchstabe e VDSG und normiert die Speicher- kontrolle. Das Schutzziel verlangt, dass die unbefugte Eingabe in den Datenspeicher sowie die unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten verhindert wird. Es ist zu verunmöglichen, dass unbefugte Personen auf den Inhalt des Da- tenspeichers Zugriff haben, diesen einsehen, verändern oder löschen können. Mögliche Massnahmen sind beispielsweise die Festlegung von differenzierten Zugriffsberechtigun- gen für Daten, Anwendungen und Betriebssysteme und die Protokollierung von Zugriffen auf Anwendungen. − Buchstabe e enthält die in Artikel 9 Absatz 1 Buchstabe f VDSG geregelte Benutzerkon- trolle. Diese ist darauf ausgerichtet, dass die Benutzung von automatisierten Datenbearbei- tungssystemen mittels Einrichtungen zur Datenübertragung durch unbefugte Personen ver- hindert wird. Mögliche Massnahmen sind beispielsweise die regelmässige Kontrolle von Berechtigungen (z. B. Sperrung von Berechtigungen aufgrund von Personalwechsel oder neuen Aufgabenzuteilungen) und der Einsatz von Software gegen Viren oder Spyware. − Buchstabe f normiert die Transportkontrolle, die derzeit in Artikel 9 Absatz 1 Buchstabe c VDSG geregelt ist. Demnach muss bei der Bekanntgabe von Personendaten sowie beim Transport von Datenträgern verhindert werden, dass die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Der Verantwortliche und der Auftragsbearbeiter müssen dafür sorgen, dass der designierte Empfänger bzw. die designierte Empfängerin die Daten in ihrer ursprünglichen Form erhalten und keine Dritte die Daten unbefugt abfan- gen können. Insbesondere bei besonders schützenswerten Personendaten stellen sich er- höhte Anforderungen an die Massnahmen. In Betracht kommt etwa die Verschlüsselung von Daten bzw. von Datenträgern.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
− In Buchstabe g ist neu die Eingabekontrolle geregelt. Diese verlangt – entsprechend Artikel 9 Absatz 2 Buchstabe h VDSG –, dass in automatisierten Systemen nachträglich überprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person eingegeben oder verändert wurden. Das Schutzziel wurde so angepasst, dass neu explizit zum Aus- druck kommt, dass auch die Veränderung von Personendaten nachträglich überprüfbar sein muss. Als mögliche Massnahme kommt insbesondere die Protokollierung in Betracht. − Buchstabe h betrifft die Bekanntgabekontrolle. Sie wurde von Artikel 9 Absatz 1 Buchstabe d VDSG übernommen und in der Formulierung leicht angepasst. Gemäss dem neuen Buchstaben h kann überprüft werden, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben wurden. Die Massnahmen sollen es insbesondere er- möglichen, die Datenempfängerinnen und Datenempfänger zu identifizieren. Dabei kann es u. U. ausreichend sein, dass das Organ als solches bekannt ist, ohne dass die natürliche Person in jedem Fall identifizierbar sein muss. Bei Bedarf muss z. B. anhand von Protokol- len feststellbar sein, mit welchen Mitteln welche Personendaten an wen bekanntgegeben wurden. − Bei Buchstabe i geht es um die Möglichkeit der Wiederherstellung der Verfügbarkeit der Personendaten und des Zugangs zu ihnen nach einem physischen oder technischen Zwi- schenfall. Er wurde in Anlehnung an Artikel 32 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 neu in den Katalog aufgenommen und entspricht der Vorgabe in Artikel 29 Ab- satz 2 Buchstabe i der Richtlinie (EU) 2016/680. Eine mögliche Massnahme ist das Ausar- beiten und Anwenden eines Backup-Konzepts. − Buchstabe j bestimmt, dass alle Funktionen des Systems zur Verfügung stehen (Verfügbar- keit), auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Per- sonendaten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenin- tegrität). Er wurde in Anlehnung an Artikel 32 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 neu in den Katalog aufgenommen und entspricht der Vorgabe in Artikel 29 Ab- satz 2 Buchstabe j der Richtlinie (EU) 2016/680. Hier geht es insbesondere darum, dass die Stabilität bzw. die Belastbarkeit der eingesetzten Systeme dauerhaft gewährleistet wird. Die Meldung der Fehlfunktionen soll vom System selbst getätigt werden, sodass der Ver- antwortliche oder der Auftragsbearbeiter automatisch darauf aufmerksam gemacht wird, dass eine Fehlfunktion vorliegt. − Buchstabe k verlangt, dass der Verantwortliche und der Auftragsbearbeiter Verletzungen der Datensicherheit im Sinne von Artikel 5 Buchstabe h rasch erkennen und Massnahmen zur Minderung oder Beseitigung deren Folgen einleiten. Anders als bei Buchstabe j geht es hier insbesondere um reaktive Massnahmen, die vom Verantwortlichen und vom Auftrags- bearbeiter getroffen werden.
Artikel 9 Absatz 2 VDSG wurde gestrichen, da er aus Sicht des Bundesrats nicht mehr not- wendig ist. Die Gründe für die Verweigerung, Einschränkung oder Aufschiebung eines Aus- kunftsgesuches werden auf Gesetzesebene festgelegt (vgl. Art. 26 nDSG). So sind die Ver- antwortlichen und Auftragsbearbeiter bereits aufgrund des nDSG verpflichtet, dafür zu sor- gen, dass die Betroffenen ihre Rechte wirksam wahrnehmen können, und dies unabhängig von den konkret angewendeten Technologien zur Bearbeitung der Personendaten.
Art. 3 Protokollierung
Diese Bestimmung ersetzt die Regelung von Artikel 10 VDSG, die aufgrund des Verweises in Artikel 20 Absatz 1 erster Satz VDSG auch auf Bundesorgane Anwendung findet. Die Rege- lung überschneidet sich dabei teilweise mit den Schutzzielen in Artikel 2 E-VDSG. So kann die Protokollierung auch eine mögliche Massnahme für die Erreichung der Schutzziele im Sinne von Artikel 2 Buchstaben g und h E-VDSG sein.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Der Zweck der Protokollierung besteht darin, dass Bearbeitungen von Personendaten nach- träglich überprüfbar sind, so dass im Nachhinein festgestellt werden kann, ob Daten abhand- engekommen sind oder gelöscht, vernichtet, verändert oder offengelegt wurden. Ausserdem geht es auch um die Gewährleistung der Zweckkonformität. So können sich aus der Protokol- lierung auch Hinweise ergeben, ob Personendaten zweckkonform bearbeitet wurden. Weiter können die Protokollierungen auch dazu dienen, Verletzungen der Datensicherheit aufzude- cken und aufzuklären. Die Protokollierung hat hingegen nicht zum Ziel, die Nutzerinnen und Nutzer, die Personendaten bearbeiten, zu überwachen.
Gemäss Artikel 3 Absatz 1 E-VDSG ist die Protokollierung dann vorzunehmen, wenn sich aus der Datenschutz-Folgenabschätzung ergibt, dass bei der automatisierten Bearbeitung von Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Verpflichtet sind gemäss Absatz 1 private Verantwortliche und Auftragsbe- arbeiter. Der Begriff des Inhabers der Datensammlung wurde in diesem Sinne ersetzt.
Für Bundesorgane wird in Absatz 2 vorgesehen, dass sämtliche automatisierten Bearbeitun- gen von Personendaten protokolliert werden müssen. Damit wird den im Rahmen der Schen- gener Zusammenarbeit im Strafrechtsbereich geltenden Anforderungen von Artikel 25 der Richtlinie (EU) 2016/680 Rechnung getragen.
Die Regelung wurde mit einem neuen Absatz 3 ergänzt, wo die Inhalte der Protokollierung konkretisiert werden. So muss die Protokollierung Aufschluss über die Art des Bearbeitungs- vorgangs, die Identität der Person, die die Bearbeitung vorgenommen hat, die Identität der Empfängerin oder des Empfängers sowie den Zeitpunkt, an dem die Bearbeitung erfolgt ist, geben.
Absatz 4 übernimmt die Inhalte des Artikels 10 Absatz 2 VDSG in leicht revidierter Form. Die Protokolle müssen neu während einer Dauer von zwei Jahren getrennt vom System, in dem die Personendaten bearbeitet werden, aufbewahrt werden. Die getrennte Aufbewahrung vom System ist notwendig, da ansonsten bei Cyberangriffen auch das Protokoll selber manipuliert oder verschlüsselt werden könnte. Die Aufbewahrungsfrist wurde auf zwei Jahre erhöht, da sich in Fällen von Cyberangriffen die Angreifer vermehrt auch während längerer Zeit in Syste- men aufhalten, ohne sofort Schaden anzurichten. Ein Angriff wird deshalb nicht zwingend so- fort erkannt. Um nachverfolgen zu können, wann und wie die Angreifer in das System gelangt sind, braucht es deshalb eine längere Aufbewahrungsdauer der Protokolle. Aufgrund der re- gelmässig späten Entdeckung von Cyberangriffen erweist sich die Aufbewahrungsfrist von einem Jahr als zu kurz. Die Protokolle sind ausschliesslich den Organen oder Personen zu- gänglich, denen die Überwachung der Datenschutzvorschriften oder die Wiederstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegen, und dür- fen nur für diesen Zweck verwendet werden. Mit letzterer Ergänzung kommt im Verordnungs- text neu zum Ausdruck, dass die Protokolle auch Sicherheitsverantwortlichen zugänglich sein sollen, damit diese die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten wiederherstellen können. Vorbehalten bleibt natürlich die Verwendung für spezialge- setzlich vorgesehene Zwecke, wie etwa eine allfällige Verwendung in einem Strafverfahren.
Artikel 10 Absatz 1 dritter Satz VDSG wurde gestrichen. Er wäre systemwidrig, wenn der EDÖB im Bereich der Datensicherheit, die gemäss Artikel 61 Buchstabe c der Strafbarkeit unterliegt, Empfehlungen aussprechen könnte. Zudem kann der EDÖB gemäss seiner allge- meinen Verfügungskompetenz im Rahmen einer Untersuchung nach Artikel 51 nDSG ohne- hin eine Protokollierung anordnen.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 4 Bearbeitungsreglement von privaten Personen
Ein Bearbeitungsreglement erstellen musste der «Inhaber einer meldepflichtigen automati- sierten Datensammlung» nach Artikel 11a Absatz 3 DSG, der nicht aufgrund von Artikel 11a Absatz 5 Buchstaben b–d DSG von der Pflicht, seine Datensammlungen anzumelden, ausge- nommen war (Art. 11 Abs. 1 VDSG). Da die Meldepflicht für private Verantwortliche (Art. 11a DSG) im nDSG nicht mehr besteht, kann Artikel 11 VDSG nicht unverändert übernommen werden.
Die Pflicht zur Erstellung eines Bearbeitungsreglements obliegt dem Verantwortlichen sowie dessen Auftragsbearbeiter. Analog zu Artikel 12 Absatz 1 nDSG sind die Bearbeitungsregle- mente ebenfalls separat zu erstellen.
Entsprechend dem risikobasierten Ansatz der Vorgabe der Datensicherheit soll ein Bearbei- tungsreglement immer dann erstellt werden, wenn ein erhöhtes Risiko vorliegt. So müssen private Verantwortliche ein Bearbeitungsreglement für automatisierte Bearbeitungen erstel- len, wenn sie umfangreich besonders schützenswerte Personendaten bearbeiten (Bst. a) o- der ein Profiling mit hohem Risiko durchführen (Bst. b). Buchstabe a entspricht der Vorgabe in Artikel 22 Absatz 2 Buchstabe a nDSG und bezieht sich auf die Bearbeitung von beson- ders schützenswerten Personendaten in umfangreicher Form. Ausgeschlossen werden damit Fälle, in denen besonders schützenswerte Personen nur vereinzelt bearbeitet werden.
Absatz 2 enthält eine Auflistung der Inhalte, die im Bearbeitungsreglement mindestens ange- geben werden müssen. Die Inhalte wurden von Artikel 11 Absatz 1 bzw. Artikel 21 Absatz 2 VDSG in leicht angepasster Form übernommen und ergänzt. Wie bis anhin ist das Bearbei- tungsreglement als eine Dokumentation oder ein Handbuch auszugestalten und sollte dem Verantwortlichen auch dazu dienen. 11 Aufgrund des Verweises in Artikel 5 Absatz 2 E-VDSG gilt Absatz 2 auch für Bundesorgane und stellt daher eine vereinheitlichte Regelung für Pri- vate und Bundesorgane auf.
− Die Angaben in Buchstaben a, b und c entsprechen Artikel 12 Absatz 2 Buchstaben b, c und e nDSG. Es handelt sich dabei um Angaben, die im Verzeichnis der Bearbeitungstätig- keiten ohnehin gemacht werden müssen. Sie können daher aus dem Verzeichnis kopiert werden. − Wie bisher müssen der private Verantwortliche und Auftragsbearbeiter im Bearbeitungsreg- lement die interne Organisation beschreiben (Bst. d). Dazu gehört auch die Umschreibung der Architektur und der Funktionsweise der Systeme. − Entsprechend Artikel 21 Absatz 2 Buchstabe b VDSG soll im Bearbeitungsreglement auch die Herkunft und Art der Beschaffung der Personendaten angegeben werden. Mit der Her- kunft ist insbesondere die konkrete Informationsquelle gemeint, z. B. das Handelsregister, öffentliche Webseiten, das Kundenregister etc. Die Art der Beschaffung gibt Aufschluss darüber, wie die Daten beschafft werden, z. B. direkt beim Betroffenen mittels Fragebogen, durch einen beschränkten direkten Zugriff auf Informationssysteme, automatisiert aus öf- fentlich-zugänglichen Quellen usw. (Bst. e). − Zentral sind die Angaben gemäss Buchstabe f: Demnach muss das Bearbeitungsreglement die technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicher- heit enthalten. So ist etwa anzugeben, mit welchen Massnahmen den Schutzzielen nach Artikel 2 Rechnung getragen wird. Die Angaben gemäss Buchstabe f sollten auch Auf- schluss über die Konfiguration der Informatikmittel geben, da es sich dabei um eine
Vgl. Kommentar BJ, 6.1.4.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
technische Massnahme handelt. Der bisherige Artikel 21 Absatz 2 Buchstabe h VDSG, der die Konfiguration der Informatikmittel noch ausdrücklich nennt, wurde deshalb nicht über- nommen. Es ist dabei ausreichend, dass die wichtigsten Grundkonfigurationen der Informa- tikmittel im Bearbeitungsreglement erläutert werden. Sie müssen aber nicht bis in die tech- nischen Details ausgeführt werden. − Auch die Zugriffsberechtigungen sowie Art und Umfang des Zugriffs (Bst. g) sind im Bear- beitungsreglement aufzuführen. − Eine Neuheit stellt Buchstabe h dar: So hat der Verantwortliche und Auftragsbearbeiter im Bearbeitungsreglement auch darzulegen, welche Massnahmen zur Datenminimierung ge- troffen werden. Der Grundsatz der Datenminimierung ist ein zentraler Grundsatz des Da- tenschutzes und geht, wie der Botschaft DSG vom 15. September 2017 zu entnehmen ist 12, implizit aus dem Grundsatz der Verhältnismässigkeit gemäss Artikel 6 Absatz 2 nDSG hervor. − Gemäss Buchstabe i müssen auch die Datenbearbeitungsverfahren, insbesondere die Ver- fahren bei der Speicherung, Berichtigung, Bekanntgabe, Aufbewahrung, Archivierung, Pseudonymisierung, Anonymisierung, Löschung oder Vernichtung im Bearbeitungsregle- ment umschrieben werden. Es soll insbesondere festgehalten werden, welche Datenbear- beitungsverfahren vorgenommen werden und wie diese ablaufen (Bst. i). − Schliesslich ist im Bearbeitungsreglement auch das Verfahren zur Auskunftserteilung und zur Ausübung des Rechts auf Datenherausgabe oder -übertragung zu umschreiben (Bst. j). Das Recht auf Datenherausgabe oder -übertragung besteht selbstredend nur im Rahmen des Gesetzes und namentlich der Vorgabe von Artikel 28 nDSG und muss somit nur in die- sen Fällen im Bearbeitungsreglement umschrieben werden. Insbesondere bei Bundesorga- nen wird die Regelung somit von untergeordneter Bedeutung sein.
Absatz 3 stellt eine Übernahme von Artikel 11 Absatz 2 VDSG dar. Die Verpflichtung, dass das Bearbeitungsreglement auch dem Beauftragten auf Anfrage zur Verfügung zu stellen ist, wurde gestrichen. Analog zum Verzeichnis der Bearbeitungstätigkeiten kann der EDÖB die- ses aber im Rahmen einer Untersuchung herausverlangen (Art. 50 Abs. 1 Bst. a nDSG).
Art. 5 Bearbeitungsreglement der Bundesorgane
Artikel 5 entspricht, mit einigen Änderungen, Artikel 21 VDSG.
Die Pflicht zur Erstellung eines Bearbeitungsreglements obliegt dem Bundesorgan sowie des- sen Auftragsbearbeiter. Analog zu Artikel 12 Absatz 1 nDSG sind die Bearbeitungsregle- mente ebenfalls separat zu erstellen.
Im Einleitungssatz von Absatz 1 wird der in Artikel 21 Absatz 1 Einleitungssatz VDSG vor- kommende Begriff «Datensammlungen» durch «Bearbeitungen» ersetzt, weil er im nDSG nicht mehr verwendet wird. Diese Bestimmung sieht nun vor, dass die verantwortlichen Bun- desorgane in den Fällen nach Absatz 1 Buchstaben a–f ein Bearbeitungsreglement erstellen.
Mit dem nDSG wird der Begriff «Persönlichkeitsprofil» aufgehoben und der Begriff «Profiling» eingeführt. Dementsprechend ist Artikel 21 Absatz 1 Buchstabe a VDSG zu ändern und in Ar- tikel 5 Absatz 1 E-VDSG vorzusehen, dass das verantwortliche Bundesorgan und dessen Auftragsbearbeiter ein Bearbeitungsreglement erstellen muss, wenn es besonders schüt- zenswerte Personendaten bearbeitet (Bst. a), ein Profiling nach Artikel 5 Buchstabe f nDSG
12 BBl 2017 6941, 7024
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
durchführt (Bst. b) oder Datenbearbeitungen im Sinne von Artikel 34 Absatz 2 Buchstabe c nDSG ausführt (Bst. c). Der Fall nach Buchstabe a entspricht dem bisherigen Recht nach dem DSG. Die Buchstaben b und c sind neu. Sie ersetzen Artikel 21 Absatz 1 Buchstabe a VDSG, der das verantwortliche Bundesorgan verpflichtet, für alle automatisierten Daten- sammlungen, die Persönlichkeitsprofile beinhalten, ein Bearbeitungsreglement zu erstellen.
Artikel 5 Absatz 1 Buchstabe d E-VDSG erfährt gegenüber Artikel 21 Absatz 1 Buchstabe c VDSG nur ein paar redaktionelle Änderungen.
In Artikel 5 Absatz 1 Buchstabe e wird der im entsprechenden Artikel 21 Absatz 1 Buch- stabe d VDSG verwendete Begriff «Datensammlungen» durch «Datenbestände» ersetzt.
Aufgrund von Artikel 5 Absatz 1 Buchstabe f E-VDSG ist ein Bearbeitungsreglement auch dann zu erstellen, wenn das verantwortliche Bundesorgan zusammen mit anderen Bundesor- ganen ein Informationssystem betreibt oder Datenbestände bewirtschaftet. Diese Bestim- mung ersetzt Artikel 21 Absatz 1 Buchstabe b VDSG, wonach eine solche Pflicht besteht, wenn eine automatisierte Datensammlung von mehreren Bundesorganen benutzt wird.
Absatz 2 verweist auf die Regelung der Inhalte des Bearbeitungsreglements für Private. Es ist an dieser Stelle deshalb auf die oben gemachten Ausführungen zu verweisen.
Absatz 3 wurde in leicht angepasster Form von Artikel 21 Absatz 3 VDSG übernommen. Der Begriff «Kontrollorgan» wurde durch Datenschutzberaterin bzw. Datenschutzberater und durch EDÖB ersetzt. Während das Bearbeitungsreglement der Datenschutzberaterin bzw. dem Datenschutzberater auch ohne vorgängige Anfrage und daher unaufgefordert zuzustel- len ist, muss es dem EDÖB nur auf Anfrage herausgegeben werden.
4.1.2 Bearbeitung durch Auftragsbearbeiter
Die Artikel zur Bearbeitung durch Auftragsbearbeiter wurden aus Gründen der Systematik bei den allgemeinen Bestimmungen im ersten Kapitel untergebracht, weil sie sowohl für den öf- fentlichen wie auch für den privaten Sektor gelten. Damit ergibt sich zudem eine bessere Übereinstimmung mit der Systematik des nDSG.
Art. 6 Modalitäten
Artikel 6 E-VDSG bestimmt die Modalitäten, die einzuhalten sind, wenn ein Verantwortlicher die Bearbeitung von Personendaten gemäss Artikel 9 nDSG einem Auftragsbearbeiter über- trägt. Er entspricht teilweise Artikel 22 VDSG, der die Datenbearbeitung durch Dritte im Auf- trag eines Bundesorgans regelt.
Die neue Bestimmung wird redaktionell angepasst, indem der in Artikel 22 Absätze 2 und 3 VDSG verwendete Begriff «Dritter» durch «Auftragsbearbeiter» ersetzt wird. In den ersten beiden Absätzen wird der Begriff «Bundesorgan» durch «Verantwortlicher» ersetzt, da Arti- kel 9 nDSG wie oben bereits erläutert für private und öffentliche Verantwortliche gilt. Schliess- lich werden die beiden ersten Absätze formell leicht angepasst.
Absatz 1 sieht demnach vor, dass der Verantwortliche (im öffentlichen oder privaten Sektor), der die Bearbeitung von Personendaten einem Auftragsbearbeiter überträgt, für den Daten- schutz verantwortlich bleibt. Im zweiten Satz von Absatz 1 wird der als zu eng befundene Ausdruck «auftragsgemäss» (Art. 22 Abs. 2 VDSG) entsprechend Artikel 9 nDSG durch «ver- trags- oder gesetzesgemäss» ersetzt. Der zweite Satz präzisiert die Verantwortlichkeit und
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
sieht vor, dass der Verantwortliche sicherstellen muss, dass die Daten vertrags- oder geset- zesgemäss bearbeitet werden und dass der Auftragsbearbeiter die Daten ausschliesslich zur Erfüllung des Auftrags bearbeitet.
Nach Artikel 22 Absatz 3 der Richtlinie (EU) 2016/680 müssen im Vertrag oder Gesetz fol- gende Aspekte geregelt werden: Gegenstand, Dauer, Art und Zweck der Bearbeitung, die Art der Personendaten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen. Der Vertrag oder das Gesetz sieht insbesondere vor, dass der Auftragsbe- arbeiter: nur auf Weisung des Verantwortlichen handelt; den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten; alle Personendaten nach Abschluss der Erbringung der Bearbei- tungsleistungen – nach Wahl des Verantwortlichen – zurückgibt bzw. löscht und bestehende Kopien vernichtet (sofern keine gegenteiligen gesetzlichen Verpflichtungen bestehen); und dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der vertrags- oder gesetzesgemässen Pflichten zur Verfügung stellt.
Artikel 6 Absatz 2 E-VDSG entspricht Artikel 22 Absatz 3 VDSG, wobei der Begriff «Dritter» durch «Auftragsbearbeiter» ersetzt wird und nun alle Verantwortlichen erfasst sind. Auch in diesem Absatz wurden einige rein formelle Anpassungen vorgenommen.
Absatz 3 präzisiert die Modalitäten im Fall, dass der Auftragsbearbeiter seinerseits die Daten- bearbeitung an Dritte übertragen will. Er betrifft nur die Bundesorgane. Entsprechend dem Regelungskonzept des Bundesrates zum Umfang der Umsetzung der Richtlinie (EU) 2016/680 (siehe Ziff. 2.3 der Botschaft vom 15. September 2017) wird vorgeschlagen, die An- forderung von Artikel 22 Absatz 2 der Richtlinie (EU) 2016/680 im gesamten öffentlichen Sek- tor umzusetzen, weil es sich dabei nicht um eine spezifische Bestimmung für die Schengener Zusammenarbeit im Strafrechtsbereich handelt. Wie in der Botschaft des Bundesrates festge- halten (BBl 2017 6941, 7032), ist der Verantwortliche im Privatsektor nicht an dieses Former- fordernis gebunden. Er hat jedoch ein Interesse daran, die Genehmigung zu dokumentieren, da er deren Vorliegen nachweisen können muss. Artikel 9 Absatz 3 nDSG sieht vor, dass der Auftragsbearbeiter die Datenbearbeitung nur mit vorgängiger Genehmigung durch den Ver- antwortlichen an Dritte übertragen kann. Wie aus der Botschaft vom 15. September 201713 (Ziff. 9.1.3.1) hervorgeht, ist der Bundesrat beauftragt, in der Verordnung festzulegen, dass die Genehmigung im öffentlichen Sektor, entsprechend den Anforderungen von Artikel 22 Ab- satz 2 der Richtlinie (EU) 2016/680, schriftlich erfolgen muss. Gemäss dieser Bestimmung müssen Schengen-Staaten vorsehen, dass der Auftragsbearbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsbearbeiter in Anspruch nehmen kann. Es ist darauf hinzuweisen, dass die schriftliche Form die elektronische Form ein- schliesst.
Art. 7 Information an die Datenschutzberaterin oder den Datenschutzberater des Bundesor- gans
Nach dieser Bestimmung, die nur für das Bundesorgan gilt, ist dieses verpflichtet, die Daten- schutzberaterin oder den Datenschutzberater über den Abschluss eines Vertrags mit einem Auftragsbearbeiter oder die Genehmigung zur Übertragung der Datenbearbeitung an einen Dritten zu informieren. Die Auftragsbearbeitung birgt in der Regel erhöhte Risiken für den
13 BBl 2017 6941, 7032
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Schutz der Daten der betroffenen Personen. Zudem muss das Bundesorgen die Daten- schutzberaterin oder den Datenschutzberater über Probleme bei der Einhaltung von gesetzli- chen oder vertraglichen Datenschutzvorschriften informieren.
4.1.3 Bekanntgabe von Personendaten ins Ausland
Entsprechend der Systematik des Gesetzes wurden die Bestimmungen zur Bekanntgabe von Personendaten ins Ausland bei den allgemeinen Bestimmungen im 1. Kapitel platziert. Meh- rere Begriffe im Zusammenhang mit der Datenbekanntgabe ins Ausland sind zu präzisieren. Im E-VDSG dienen hierzu fünf verschiedene Artikel: Ein erster Artikel konkretisiert die Krite- rien, die der Bundesrat zu berücksichtigen hat, um bestimmen zu können, ob ein Staat oder ein internationales Organ einen angemessenen Schutz gewährleistet; ein zweiter Artikel legt dar, was die Datenschutzklauseln in einem Vertrag und die spezifischen Garantien zur Ge- währleistung eines geeigneten Datenschutzes regeln müssen; in einem dritten Artikel geht es um die Standarddatenschutzklauseln; ein vierter Artikel konzentriert sich auf verbindliche un- ternehmensinterne Datenschutzvorschriften. Aufgrund der in Artikel 16 Absatz 3 nDSG dem Bundesrat zugewiesenen Kompetenz werden in einer letzten Bestimmung weitere geeignete Garantien vorgesehen.
Art. 8 Beurteilung der Angemessenheit des Datenschutzes eines ausländischen Staates oder eines internationalen Organs
Sind bestimmte Kriterien erfüllt, kann der Bundesrat entscheiden, dass ein Staat (bzw. ein Gebiet, ein oder mehrere spezifische Sektoren in einem Staat) oder ein internationales Organ einen angemessenen Schutz gewährleistet.
Bevor auf die einzelnen Faktoren eingegangen wird, die der Bundesrat im Hinblick auf seinen Angemessenheitsentscheid zu berücksichtigen hat, muss zunächst präzisiert werden, was unter «Gebiet» und «spezifischer Sektor» zu verstehen ist. Es kann, vor allem auch bei Bun- desstaaten, vorkommen, dass die Gesetzgebung eines Bundesstaates keinen angemesse- nen Schutz gewährleistet, aber einer seiner Gliedstaaten über eine in seinem Gebiet geltende angemessene Datenschutzregelung verfügt. Der Begriff «spezifischer Sektor» lässt sich am Beispiel von Kanada veranschaulichen. Die Europäische Kommission hat Kanada eine «teil- weise» Angemessenheit zuerkannt, weil aufgrund einer spezifischen Datenschutzgesetzge- bung für den privaten Sektor nur in diesem Sektor ein angemessener Schutz festgestellt wer- den könne. 14 Bis Juli 2020 galt dasselbe für die USA. Der Privacy Shield CH-USA liess nur den freien Datentransfer in Unternehmen zu, die sich zur Einhaltung der verbindlichen Grundsätze des Datenschutzschildes verpflichtet hatten. 15 Zu nennen sind weitere spezifi- sche Sektoren wie der Finanz- oder Versicherungssektor oder die Datenbearbeitung durch
Entscheidung 2002/2/EG der Kommission vom 20. Dezember 2001 gemäss der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des Datenschutzes, den das kanadische Personal Information Protection and Electronic Documents Act bietet, ABl. L 2 vom 4.1.2002, S. 13. Siehe im selben Sinn die Bemerkung des EDÖB zu Kanada in der Liste der Staaten, deren Ge- setzgebung einen angemessenen Datenschutz gewährleistet: https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2020/staaten- liste.pdf.download.pdf/20200908_Staatenliste_d.pdf. Nachdem der EuGH am 16. Juli 2020 den Privacy Shield EU-USA für ungültig erklärt hatte (Urteil «Schrems II»), hat der EDÖB in seiner Staatenliste den Verweis auf einen «angemessenen Datenschutz unter bestimmten Bedingungen» für die USA gestrichen. Siehe dazu die Medienmitteilung des EDÖB (https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-80318.html) und seine Stel- lungnahme (https://www.newsd.admin.ch/newsd/message/attachments/64258.pdf).
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Auftragsbearbeiter. 16 Der Begriff des internationalen Organs wurde in der Botschaft zum Da- tenschutzgesetz präzisiert. Er bezieht sich auf «alle internationalen Institutionen, seien dies Organisationen oder Gerichte» (BBl 2017 6941, 7038) 17.
Beim Entscheid, ob ein Staat (bzw. ein Gebiet oder ein spezifischer Sektor) oder ein internati- onales Organ einen angemessenen Schutz gewährleistet, müssen namentlich folgende Krite- rien berücksichtigt werden (Art. 8 Abs. 1 E-VDSG):
− die internationalen Verpflichtungen des betroffenen Staates oder des internationalen Or- gans im Bereich des Datenschutzes (Abs. 1 Bst. a); − die Achtung der Menschenrechte (Abs. 1 Bst. b); − die geltende Gesetzgebung zum Datenschutz sowie deren Umsetzung und die einschlä- gige Rechtsprechung (Abs. 1 Bst. c);
Diese drei ersten Aspekte beziehen sich unter anderem auf die Rechtsstaatlichkeit, die Ach- tung der Menschenrechte und Grundfreiheiten sowie die einschlägigen allgemeinen und Spe- zialgesetzgebungen des Staates in Bereichen wie öffentliche Gesundheit, Verteidigung, nati- onale Sicherheit und Strafecht oder betreffend den Zugang öffentlicher Stellen zu Personen- daten.
− die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschut- zes (Abs. 1 Bst. d);
Hier ist nicht nur zu prüfen, ob die betroffenen Personen in einer gesetzlichen Grundlage vor- gesehene Rechte haben, sondern auch sicherzustellen, dass diese Rechte tatsächlich umge- setzt werden.
− das wirksame Funktionieren von einer oder mehreren unabhängigen Behörden, die im be- troffenen Staat mit dem Datenschutz beauftragt sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen. In diesem Sinne müssen die Mindestanforderungen des revidierten Übereinkommens SEV 108 erfüllt sein (Abs. 1 Bst e).
Der Bundesrat kann auch eine Beurteilung des Schutzniveaus berücksichtigen, welche von einer ausländischen Behörde, die für den Datenschutz zuständig ist (und zu einem Staat mit einem angemessenen Schutzniveau gehört) oder von einem internationalen Organ vorge- nommen wurde (Abs. 2). Als internationales Organ im Sinne dieses Absatzes kann unter an- derem der mit dem revidierten Übereinkommen SEV 108 eingesetzte Ausschuss der Ver- tragsparteien gelten. Auch Beurteilungen, welche die Europäische Kommission vorgenom- men hat, können als Informationsquelle dienen.
Artikel 8 E-VDSG sieht auch vor, dass das Schutzniveau des betroffenen Staates oder inter- nationalen Organs periodisch neu beurteilt wird (Abs. 3). Ergibt sich aus einer solchen Beur- teilung oder aus anderen verfügbaren Informationen, dass ein Staat oder ein internationales Organ kein angemessenes Schutzniveau mehr gewährleistet, muss der Bundesrat seinen Entscheid gemäss Artikel 16 Absatz 1 nDSG ändern, sistieren oder aufheben. Im Fall der
Vgl. De Terwangne, Cécile / Gayrel, Claire, Le RGPD et les transferts internationaux de données à caractère personnel, in: Le règlement général sur la protection des données (RGPD/GDPR): analyse approfondie, Cahiers du CRIDS; No. 44, 2018, S. 297 (http://www.crid.be/pdf/public/8344.pdf). Die oben zitierten Autorinnen nennen beispielsweise die Welt-Anti-Doping-Agentur in Montreal, an die besonders schützenswerte Daten zur Gesundheit der Leistungssportlerinnen und -sportler übermittel werden. De Terwangne, Cécile / Gayrel, Claire, S. 296.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Vereinigten Staaten zum Beispiel sah sich der EDÖB nach dem Urteil «Schrems II» des EuGH im Juli 2020 veranlasst, seine Haltung bezüglich dieses Staates zu revidieren (und die Liste anzupassen), weil diese Information «verfügbar» war. Erachtet er es als notwendig, kann der Bundesrat die Liste der Staaten und internationalen Organe umgehend ändern, und zwar aufgrund von Artikel 7 Absatz 3 PublG 18, der dringliche Veröffentlichungen erlaubt. Der neue Entscheid hat keine Auswirkungen auf bereits erfolgte Datenbekanntgaben (Abs. 4).
Absatz 5 sieht vor, dass die Staaten (bzw. die Gebiete oder spezifischen Sektoren) und die internationalen Organe, bei denen der Bundesrat ein angemessenes Schutzniveau festge- stellt hat, im Anhang zur Verordnung aufgeführt sind. Wie in der Botschaft vorgeschlagen 19, handelt es sich somit um eine Positiv-Liste. Ist ein Staat darin nicht aufgeführt, bedeutet dies nicht unbedingt, dass seine Datenschutzgesetzgebung keinen angemessenen Schutz ge- währleistet. Es kann auch sein, dass der Bundesrat die Gesetzgebung einfach noch nicht ge- prüft hat. Dieses Vorgehen weicht ein wenig von dem des EDÖB ab. Der EDÖB hat nämlich bis anhin bei jedem einzelnen Staat angegeben, ob er über einen angemessenen Schutz für natürliche Personen, einen angemessenen Schutz unter bestimmten Voraussetzungen oder einen ungenügenden Schutz verfügt.
Im sechsten und letzten Absatz wird präzisiert, dass der EDÖB vor jedem Entscheid über die Angemessenheit konsultiert wird.
Art. 9 Datenschutzklauseln und spezifische Garantien
Artikel 16 Absatz 2 nDSG schreibt vor, dass in Fällen, in denen kein Entscheid des Bundesra- tes vorliegt, Personendaten ins Ausland bekanntgegeben werden dürfen, wenn ein geeigne- ter Datenschutz gewährleistet ist. Im privaten Sektor kann dieser durch eine Datenschutz- klausel in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner gewährleistet sein (Bst. b), im öffentli- chen Sektor durch spezifische Garantien, die das zuständige Bundesorgan erarbeitet hat (Bst. c).
Anders als bei den übrigen in Absatz 2 genannten Instrumenten müssen die Verantwortlichen und die Auftragsbearbeiter diese Garantien nicht vom EDÖB genehmigen lassen, sondern ihm diese vor der Datenbekanntgabe ins Ausland nur mitteilen. Es besteht ein gewisses Ri- siko, dass die Verantwortlichen und die Auftragsbearbeiter das Schutzniveau, das mit diesen Garantien erreicht werden soll, unterschiedlich beurteilen, wobei dies für den privaten Sektor ebenso gilt wie für den öffentlichen Sektor.
Der Bundesrat erachtet es deshalb als angezeigt, bestimmte Datenschutzstandards festzule- gen, und präzisiert in Artikel 9 Absatz 1 E-VDSG, was diese Datenschutzklauseln oder spezi- fischen Garantien mindestens regeln müssen. Es handelt sich um folgende Punkte: die An- wendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässig- keit, der Zweckbindung und der Richtigkeit (Bst. a); die Kategorien der bekanntgegebenen Personendaten und der betroffenen Personen (Bst. b); die Art und der Zweck der Bekannt- gabe von Personendaten (Bst. c); die Namen der Staaten, in die Personendaten bekanntge- geben werden (Bst. d); die Namen der internationalen Organe, denen Personendaten be- kanntgegeben werden (Bst. e); die Anforderungen an die Aufbewahrung, die Löschung und
18 SR 170.512
19 BBl 2017 7038
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Vernichtung von Personendaten (Bst. f); die zur Bearbeitung der Daten berechtigten Empfän- gerinnen und Empfänger (Bst. g); die Massnahmen zur Gewährleistung der Datensicherheit (Bst. h); die Anforderungen an eine Bekanntgabe von Personendaten an einen anderen aus- ländischen Staat oder an ein anderes internationales Organ (Bst. i); die Pflicht der Empfänge- rin oder des Empfängers, die betroffenen Personen über die Bearbeitung zu informieren (Bst. j) und die Rechte der betroffenen Person (Bst. k), namentlich: das Recht, Auskunft über ihre Personendaten zu verlangen (Ziff. 1), das Recht, Widerspruch gegen die Bearbeitung von Personendaten einzulegen (Ziff. 2), das Recht, die Berichtigung, Löschung oder Vernich- tung von Personendaten zu verlangen (Ziff. 3), und das Recht, eine unabhängige Behörde (Datenschutzbehörde oder Gericht) um Rechtsschutz zu ersuchen (Ziff. 4).
Alle diese Punkte leiten sich aus dem nDSG ab. Absatz 2 sieht zudem vor, dass der Verant- wortliche, wenn er Personendaten ins Ausland bekanntgibt, angemessene Massnahmen trifft, um sicherzustellen, dass die Empfängerin oder der Empfänger die Datenschutzklauseln in ei- nem Vertrag oder die spezifischen Garantien beachtet. Gemäss diesem Absatz, der im We- sentlichen Artikel 6 Absatz 4 VDSG entspricht, lässt sich somit sicherstellen, dass die Emp- fängerin oder der Empfänger der bekanntgegebenen Daten den in der Schweiz geltenden da- tenschutzrechtlichen Rahmen einhält.
Ein dritter Absatz übernimmt Artikel 6 Absatz 2 VDSG zur Informationspflicht des Verantwort- lichen. Er wird nur redaktionell angepasst, indem insbesondere der Ausdruck «Inhaber der Datensammlung» ersetzt wird.
Art. 10 Standarddatenschutzklauseln
Wie bei der Datenbekanntgabe ins Ausland, die sich auf Datenschutzklauseln in einem Ver- trag und auf spezifische Garantien stützt, sind auch bei der Datenbekanntgabe mittels Stan- darddatenschutzklauseln (Art. 16 Abs. 2 Bst. d nDSG) die schweizerischen Datenschutzvor- schriften einzuhalten. So präzisiert Artikel 10 Absatz 1 E-VDSG, der Artikel 6 Absatz 4 VDSG entspricht, dass der Verantwortliche angemessene Massnahmen treffen muss, um sicherzu- stellen, dass die Empfängerin oder der Empfänger die Standardklauseln tatsächlich beachtet. Im Kommentar des Bundesamtes für Justiz zur VDSG 20 wird diese Sorgfaltspflicht wie folgt präzisiert: «Die Angemessenheit der geforderten Massnahmen richtet sich nach den Umstän- den im konkreten Fall und dem Stand der Technik. Geht es um besonders schützenswerte Personendaten oder Persönlichkeitsprofile, sind die Anforderungen höher, als wenn es um einfache Personendaten geht.» Der Begriff «Persönlichkeitsprofile» wird im nDSG zwar nicht mehr verwendet, die Erläuterung ist jedoch weiterhin relevant zum Verständnis, dass die Massnahmen den konkreten Umständen angepasst sein müssen.
Zudem präzisiert Artikel 10 Absatz 2 E-VDSG den Artikel 16 Absatz 2 Buchstabe d nDSG, wonach die Standarddatenschutzklauseln, die von einer privaten Person oder von einem Bundesorgan erarbeitet werden können, dem EDÖB vorzulegen sind. So trifft dieser, innert der Frist nach Artikel 4 der Verordnung vom 25. Mai 2011 21 über Grundsätze und Ordnungs-
Vgl. Kommentar BJ, 5.2. 21 SR 172.010.14
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
fristen für Bewilligungsverfahren (OrFV), eine Verfügung im Sinne von Artikel 5 des Bundes- gesetzes vom 20. Dezember 1968 22 über das Verwaltungsverfahren (VwVG) und veröffent- licht auf seiner Website eine Liste der Standarddatenschutzklauseln, die er genehmigt, aus- gestellt oder anerkannt hat.
Art. 11 Verbindliche unternehmensinterne Datenschutzvorschriften
Verbindliche unternehmensinterne Datenschutzvorschriften gelten für alle Unternehmen, die zum selben Konzern gehören, und müssen von diesen eingehalten werden. Diese Vorschrif- ten müssen nicht nur die in Artikel 9 Absatz 1 E-VDSG genannten Punkte umfassen, sondern auch Angaben zur Organisation und die Kontaktdaten des Konzerns und jeder seiner Einhei- ten sowie Angaben zu den Massnahmen, die innerhalb des Konzerns getroffen wurden, um die Einhaltung der unternehmensinternen Vorschriften zu gewährleisten.
Diese verbindlichen unternehmensinternen Vorschriften sind gemäss Artikel 16 Absatz 2 Buchstabe e nDSG überdies dem EDÖB vorzulegen, der innert der Frist nach Artikel 4 OrFV eine Verfügung im Sinne von Artikel 5 VwVG trifft.
Art. 12 Verhaltenskodizes und Zertifizierungen
Gemäss Artikel 16 Absatz 3 nDSG kann der Bundesrat andere geeignete Garantien vorse- hen, welche die Datenbekanntgabe ins Ausland ermöglichen. So lässt sich ein geeigneter Datenschutz auch durch einen Verhaltenskodex oder eine Zertifizierung gewährleisten (Abs. 1).
Mit dieser neuen Massnahme erhalten Unternehmen einen Anreiz, einen solchen Kodex ein- zuführen oder ihre Systeme, Produkte oder Dienstleistungen zertifizieren zu lassen. Wie bei den Standarddatenschutzklauseln und den verbindlichen unternehmensinternen Vorschriften wird aus Gründen der Kohärenz auch bei den Verhaltenskodizes bestimmt, dass diese vom EDÖB genehmigt werden müssen (Abs. 2). Denn diese Instrumente sind auf ihre Tauglichkeit zu prüfen. Sie müssen mindestens die Punkte umfassen, die bei den Datenschutzklauseln in einem Vertrag und bei den spezifischen Garantien verlangt werden. Deshalb wird auf Arti- kel 9 Absatz 1 E-VDSG verwiesen. Die Genehmigung der Verhaltenskodizes durch den EDÖB steht nicht im Widerspruch zu Artikel 11 nDSG, der in allgemeiner Weise vorsieht, dass der EDÖB zu den ihm vorgelegten Verhaltenskodizes Stellung nimmt, aber diese nicht genehmigt. Im konkreten Fall, in dem ein Verantwortlicher sich bei der Datenbekanntgabe ins Ausland auf seinen Verhaltenskodex stützt, ist es wie bei den Standarddatenschutzklauseln und den verbindlichen unternehmensinternen Vorschriften angezeigt, dass der EDÖB dieses Instrument genehmigt. Gemäss der Verordnung vom 28. September 200723 über die Daten- schutzzertifizierungen müssen ausschliesslich ausländische Zertifizierungen vom EDÖB an- erkannt werden. Das bedeutet jedoch nicht, dass die Zertifizierung nicht den Anforderungen der Verordnung über die Datenschutzzertifizierungen entsprechen muss.
Zudem muss der Verantwortliche oder der Auftragsbearbeiter, der sich in einem Drittland be- findet, die verbindliche und durchsetzbare Verpflichtung eingehen, die im Verhaltenskodex oder in der Zertifizierung enthaltenen Massnahmen anzuwenden (Abs. 3).
22 SR 172.021 23 SR 235.13
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Die Artikel 5 und 7 VDSG werden nicht übernommen. Erstere Bestimmung wurde in das nDSG (Art. 18) eingefügt. Die zweite, die dem EDÖB die Kompetenz zuwies, eine Liste der Staaten mit einem angemessenen Datenschutzniveau zu erstellen, ist überholt, weil neu der Bundesrat diese Kompetenz hat (Art. 16 Abs. 1 nDSG).
4.2 Pflichten des Verantwortlichen und des Auftragsbearbeiters
Art. 13 Modalitäten der Informationspflichten
Abs. 1
Die Informationspflicht des Verantwortlichen und des Auftragsbearbeiters ist in Artikel 19 nDSG verankert. Ausnahmen und Einschränkungen sind in Artikel 20 nDSG festgelegt. Arti- kel 19 Absatz 1 nDSG sieht vor, dass die betroffene Person «angemessen» informiert wer- den muss. Dies bedeutet, dass die Informationen soweit möglich in präziser, verständlicher und leicht zugänglicher Form mitgeteilt werden. Mit anderen Worten muss der Verantwortli- che oder der Auftragsbearbeiter bei der Wahl der Informationsform sicherstellen, dass die be- troffene Person die wichtigsten Informationen stets auf der ersten Kommunikationsstufe er- hält. Erfolgt die Kommunikation zum Beispiel über eine Internetseite, kann eine gute Praxis darin bestehen, dass alle wesentlichen Informationen auf einen Blick verfügbar sind. Um wei- tere Informationen zu erhalten, kann die betroffene Person danach auf diese zuerst angezeig- ten Informationen klicken, worauf sich ein Fenster mit detaillierteren Angaben öffnet. Es ist allerdings festzuhalten, dass die Kommunikation über eine Website nicht immer genügt: Die betroffene Person muss wissen, dass sie die Informationen auf einer bestimmten Website fin- det. Findet die Kommunikation in einem telefonischen Setting statt, können die Informationen durch eine natürliche Person mündlich mitgeteilt und allenfalls durch einen Link zu einer Website ergänzt werden. Bei aufgezeichneten Informationen muss die betroffene Person die Möglichkeit haben, sich ausführlichere Informationen anzuhören. In einer «realen» Umge- bung, in der eine Person mit einem Videoüberwachungssystem oder einer Drohne gefilmt werden kann, muss beispielsweise durch einen sichtbaren Hinweis oder eine Informations- kampagne darauf aufmerksam gemacht werden.
Abs. 2
Um Informationen klar und verständlich zu vermitteln, können ihnen Piktogramme beigefügt werden. Piktogramme können die für die betroffenen Personen notwendigen Informationen ergänzen, um deren Transparenz zu erhöhen, doch dürfen sie das Mitteilen der Informatio- nen nicht ersetzen. Die Verordnung präzisiert noch, dass Piktogramme, die in elektronischer Form dargestellt werden, maschinenlesbar sein müssen. Das heisst, die verwendete Soft- ware muss die in solchen Formaten vorliegenden Informationen leicht identifizieren, erkennen und extrahieren können. Dies ermöglicht unter anderem den Vergleich verschiedener Doku- mente sowie allgemein eine gewisse Automatisierung.
Die Ausnahmen von der Informationspflicht, insbesondere die nach Artikel 20 Absatz 2 nDSG, bedürfen keiner weitergehenden Präzisierung. Denn bereits in der Botschaft wird an- hand von Beispielen erläutert, was unter einer «nicht möglichen» Information oder einem «unverhältnismässigen Aufwand» für den Verantwortlichen oder den Auftragsbearbeiter zu verstehen ist (vgl. BBl 2017 7053 ff.).
Artikel 13 Absätze 1 und 2 sind auch anwendbar auf die Informationspflicht bei automatisier- ten Einzelentscheiden gemäss Artikel 21 nDSG.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 14 Informationspflicht der Bundesorgane bei der systematischen Beschaffung von Perso- nendaten
Die Regelung entspricht dem geltenden Artikel 24 VDSG: Ist die betroffene Person nicht zur Auskunft verpflichtet, so muss das verantwortliche Bundesorgan diese auf die Freiwilligkeit ihrer Auskunftserteilung hinweisen. Entsprechend der Regelung des Artikels 24 VDSG gilt diese Pflicht ebenfalls einzig für die systematische Beschaffung von Personendaten, insbe- sondere mittels Fragebogen. Sie betrifft insbesondere den Bereich der Statistik und For- schung.
Art. 15 Information bei der Bekanntgabe von Personendaten
Diese Bestimmung entspricht den Artikeln 12 und 26 VDSG und betrifft die Zuverlässigkeit der bekanntgegebenen Personendaten. Nebst der «Aktualität» und der «Zuverlässigkeit» der Personendaten wird in Artikel 15 neu die «Vollständigkeit» erwähnt. Zur Sicherstellung der Datenqualität müssen die Daten aktuell, zuverlässig und vollständig (d. h. weder nur teilweise vorhanden noch lückenhaft) sein. Die Bestimmung wird so an Artikel 7 Absatz 2 der Richtlinie (EU) 2016/680 angepasst. Aufgrund der Systematik des nDSG gilt sie sowohl für Privatperso- nen als auch für Bundesorgane und ergänzt Artikel 6 Absatz 5 nDSG.
Art. 16 Information über die Berichtigung, Löschung oder Vernichtung sowie die Einschrän- kung der Bearbeitung von Personendaten
Gemäss Artikel 16 E-VDSG hat der Verantwortliche Empfängerinnen und Empfänger, denen er Personendaten bekanntgegeben hat, unverzüglich über die Berichtigung, Löschung oder Vernichtung sowie die Einschränkung der Bearbeitung von Personendaten zu benachrichti- gen, ausser die Benachrichtigung ist unmöglich oder mit einem unverhältnismässigen Auf- wand verbunden. Die Regelung wurde in Anlehnung an Artikel 19 DSGVO konzipiert. Die Vorgaben von Artikel 16 Absätze 5 und 6 der Richtlinie (EU) 2016/680 wurden hingegen im sektoriellen Recht bereits umgesetzt. Ziel der Regelung ist es insbesondere, sicherzustellen, dass keine widersprechenden Datenbestände bestehen. Die Pflicht des Verantwortlichen nach Artikel 16 ergänzt die Rechte der betroffenen Personen nach Artikel 32 Absatz 4 und 41 Absatz 2 Buchstabe b nDSG: Der Verantwortliche ist aufgrund des E-VDSG verpflichtet, die Berichtigung, Löschung oder Vernichtung sowie die Einschränkung der Bearbeitung von Per- sonendaten Empfängerinnen und Empfängern mitzuteilen. Unterlässt er diese Mitteilung, so kann die betroffene Person ihre Rechte nach dem nDSG geltend machen.
Art. 17 Überprüfung einer automatisierten Einzelentscheidung
Gemäss Artikel 21 Absatz 2 nDSG hat eine betroffene Person Anspruch darauf, bei einer au- tomatisierten Einzelentscheidung auf Antrag ihren Standpunkt darzulegen und eine Überprü- fung durch eine natürliche Person zu verlangen. Damit die betroffene Person nicht von der Ausübung ihrer Rechte abgeschreckt wird, wird vorliegend festgehalten, dass die betroffene Person nicht aufgrund des Umstandes benachteiligt werden darf, dass sie verlangt, ihren Standpunkt darzulegen oder dass eine natürliche Person die Entscheidung überprüft. Dabei ist der Begriff der Benachteiligung weit zu verstehen und erfasst z. B. finanzielle und soziale Benachteiligungen sowie administrative Erschwernisse (Schikanen).
Art. 18 Form und Aufbewahrung der Datenschutz-Folgenabschätzung
Die Norm konkretisiert die Modalitäten der Datenschutz-Folgenabschätzung im Sinne von Ar- tikel 22 nDSG, nämlich deren Form und Aufbewahrungsdauer.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Der erste Satz bestimmt, dass die Datenschutz-Folgenabschätzung in verständlicher Form schriftlich festzuhalten ist. Die Schriftform umfasst insbesondere Dokumente in Papier- oder elektronischer Form. Sie ist insbesondere für den Nachweis von Bedeutung, dass eine Da- tenschutz-Folgenabschätzung erfolgt ist.
Der zweite Satz betrifft die Aufbewahrungsdauer. Der Grund für die Aufbewahrung der Daten- schutz-Folgenabschätzung über die Vornahme der Datenbearbeitung hinaus besteht darin, dass sie ein zentrales datenschutzrechtliches Instrument darstellt. Sie kann insbesondere bei der Abklärung von Verletzungen der Datensicherheit oder der Beurteilung der Strafbarkeit ei- nes Verhaltens von Bedeutung sein. So gibt die Datenschutz-Folgenabschätzung darüber Auskunft, wie die Risiken für die Persönlichkeit oder die Grundrechte bewertet wurden und welche Massnahmen getroffen wurden. Bei Bundesorganen, die grundsätzlich nur gestützt auf Rechtsgrundlagen Daten bearbeiten können, kann es aufgrund der Beständigkeit gewis- ser Rechtsgrundlagen vorkommen, dass eine Datenschutz-Folgeabschätzung über einen sehr langen Zeitraum aufzubewahren ist (z. B. mehrere Jahrzehnte).
Im Falle der Bundesorgane wird weiter zu regeln sein, wie die Datenschutz-Folgenabschät- zung zeitlich mit dem Gesetzgebungsverfahren zur Schaffung der Rechtsgrundlagen für die Datenbearbeitung zu koordinieren ist. Es soll vorgesehen werden, dass die Bundesorgane die Datenschutz-Folgenabschätzung zusammen mit den Erlassentwürfen dem Antrag an den Bundesrat beifügen müssen und sie die Resultate der Datenschutz-Folgenabschätzung in der Botschaft des Bundesrats festhalten müssen. Da die Regelung aber nur Weisungscharakter innerhalb der Bundesverwaltung aufweist, ist sie nicht auf Verordnungsstufe zu regeln. Es ist geplant, die Regelung in den Richtlinien für Bundesratsgeschäfte («roter Ordner») und im Botschaftsleitfaden umzusetzen.
Art. 19 Meldung von Verletzungen der Datensicherheit
Artikel 24 Absatz 2 nDSG enthält die Mindestanforderungen an eine Meldung des Verant- wortlichen von Verletzungen der Datensicherheit an den EDÖB: Dazu gehört die Art der Ver- letzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnah- men. Der Inhalt dieser Meldung an den EDÖB wird in Artikel 19 Absatz 1 E-VDSG weiter prä- zisiert. Dabei ist zu beachten, dass die Meldung an den EDÖB gemäss Artikel 24 Absatz 1 nDSG auf Verletzungen der Datensicherheit beschränkt ist, die voraussichtlich zu einem ho- hen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Die Formulierung «voraussichtlich» macht dabei deutlich, dass auch in Zweifelsfällen, in welchen das Vorliegen eines hohen Risikos nicht ausgeschlossen werden kann, eine Meldung zu er- folgen hat.
Absatz 1 enthält folgenden Katalog an Angaben: Nebst der bereits im Gesetz erwähnten Art der Datensicherheitsverletzung (Bst. a), ist weiter vorgesehen, dass, soweit möglich, auch der Zeitpunkt und die Dauer der Datensicherheitsverletzung mitgeteilt werden muss (Bst. b). Somit wird für den EDÖB überprüfbar, ob der Verantwortliche seine Pflicht, ihm die Meldung so rasch als möglich zukommen zu lassen, wahrgenommen hat. Weiter müssen, soweit mög- lich, auch die Kategorien und ungefähre Anzahl der Personendaten, die von der Verletzung der Datensicherheit betroffen sind (Bst. c), gemeldet werden sowie die Kategorien und unge- fähre Anzahl der betroffenen Personen (Bst. d). Diese Informationen sind von grundsätzlicher Bedeutung, damit das Ausmass der Verletzung abgeschätzt werden kann. Dabei ist insbe- sondere erforderlich, dass bekannt ist, welche Kategorien von Personendaten von der Verlet- zung betroffen sind (z. B. Adressen, Kreditkartenformationen, Gesundheitsdaten), damit die Ausführungen zu den Folgen, Risiken und Massnahmen überhaupt nachvollziehbar sind. Im Zusammenhang mit der Meldung von Folgen und Risiken für die betroffenen Personen
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
(Bst. e) und den vom Verantwortlichen getroffenen Massnahmen (Bst. f), muss der Verant- wortliche bei der Information an die betroffene Person unter anderem auch Ausführungen dazu machen, welche Kategorien von Personendaten in ihrem Fall von der Verletzung betrof- fen sind und welche konkreten Massnahmen die betroffene Person selbst vorsehen kann (z. B. unverzügliche Passwortänderung, falls Anmeldedaten entwendet wurden oder Kredit- kartensperre). Schliesslich muss der Verantwortliche den Namen und die Kontaktdaten einer Ansprechperson melden (Bst. g), welche als Anlaufstelle für die Kommunikation mit dem EDÖB als auch den betroffenen Personen fungiert.
Absatz 2 ermöglicht es dem Verantwortlichen, dem EDÖB die Informationen schrittweise zur Verfügung zu stellen, falls es dem Verantwortlichen nicht möglich sein sollte bei Entdeckung der Verletzung der Datensicherheit bereits alle Informationen gemäss Absatz 1 zu liefern. Da der Verantwortliche die Meldung gemäss Artikel 24 Absatz 1 nDSG «so rasch als möglich» abzusetzen hat, wird in der Praxis insbesondere bei den Informationen nach Absatz 1 Buch- staben b–d regelmässig das Problem auftreten, dass diese unmittelbar nach Entdeckung der Verletzung der Datensicherheit häufig noch gar nicht vorliegen. Daher wird es dem Verant- wortlichen ermöglicht, dass er in einem ersten Schritt bei der Entdeckung der Verletzung so rasch als möglich nur die ihm bekannten Grundangaben liefert. Sobald ihm die restlichen In- formationen vorliegen, die er ohne unangemessene weitere Verzögerung zu beschaffen hat, stellt er diese dem EDÖB schrittweise zur Verfügung.
In Absatz 3 wird festgehalten, welche Angaben der betroffenen Person gemacht werden müs- sen, falls gemäss Artikel 24 Absatz 4 nDSG eine Information an diese zu erfolgen hat. Weiter muss diese Information – im Vergleich zur Meldung an den Beauftragten – in möglichst einfa- cher und verständlicher Sprache mitgeteilt werden, da nicht vorausgesetzt werden kann, dass einer durchschnittlichen betroffenen Person der Fachjargon dieser technisch geprägten Mate- rie geläufig ist. Die Meldung an den EDÖB ist dabei inhaltlich etwas breiter gefasst als die In- formation der betroffenen Personen, da sich Ersterer ein Bild über das Ausmass einer Verlet- zung der Datensicherheit verschaffen können muss.
Die Meldung erfolgt bei den Bundesorganen durch die Datenschutzberaterin oder den Daten- schutzberater (Abs. 4). Die Bundesorgane haben somit durch Weisungen oder andere geeig- nete Instrumente sicherzustellen, dass die verantwortlichen Fachbereiche die Datenschutzbe- raterin oder den Datenschutzberater unverzüglich über Verletzungen der Datensicherheit in- formieren, damit diese oder dieser die Meldung gemäss Artikel 24 Absatz 1 nDSG so rasch als möglich vornehmen kann.
Absatz 5 sieht vor, dass alle mit der gemeldeten Verletzung der Datensicherheit zusammen- hängenden Tatsachen, deren Auswirkungen und die ergriffenen Massnahmen zu dokumen- tieren sind. Die Unterlagen sind dabei ab dem Zeitpunkt der Meldung der Verletzung der Da- tensicherheit für mindestens drei Jahre aufzubewahren.
Im Zusammenhang mit der praktischen Umsetzung der Meldepflicht nach Artikel 24 nDSG ist darauf hinzuweisen, dass aufgrund von Erfahrungen ausländischer Aufsichtsbehörden bei der Umsetzung der ähnlich ausgestalteten Meldepflicht in Artikel 33 der Verordnung (EU) 2016/679 eine grosse Anzahl jährlicher Meldungen zu erwarten ist. So hat der Austausch mit dem Bayerischen Landesamt für Datenschutzaufsicht, dessen Zahlen sich in etwa auf die Schweiz projizieren lassen, ergeben, dass um die 6000 Meldungen pro Jahr eingehen könn- ten. Damit den Verantwortlichen eine strukturierte Meldemöglichkeit angeboten und die Masse von Meldungen möglichst effizient abgearbeitet werden kann, arbeitet der EDÖB der- zeit an der Entwicklung einer webbasierten Meldeoberfläche, voraussichtlich in Form eines interaktiven Formulars. Im Rahmen dieses Projektes prüft der EDÖB derzeit auch die
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Möglichkeit eines gemeinsamen Meldeportals zusammen mit anderen Bundesorganen, die ähnliche Meldepflichten oder -möglichkeiten im Bereich der Datensicherheit vorsehen (z. B. die freiwillige Meldung von Cybervorfällen beim NCSC). Mit einem solchen Meldeportal würde sich der Aufwand für den Verantwortlichen reduzieren, falls dieser bei mehreren Bundesstel- len Meldungen absetzen muss. Zudem könnte damit die Bereitschaft erhöht werden, auch freiwillige Meldungen zu tätigen, da diese keinen Zusatzaufwand mehr generieren würden.
4.3 Rechte der betroffenen Person
Das Kapitel zu den Rechten der betroffenen Person beinhaltete im E-DSG nur das Auskunfts- recht und dessen Einschränkungen. Das Parlament hat ein Recht auf Datenherausgabe und -übertragung hinzugefügt. Dementsprechend werden in der Verordnung diese beiden Ar- ten von Rechten der betroffenen Person präzisiert.
Im VDSG ist das Auskunftsrecht an verschiedenen Stellen geregelt, je nachdem, ob der pri- vate (Art. 1 und 2 VDSG) oder der öffentliche Sektor (Art. 13 und 14 VDSG) betroffen ist. Die Regelungen stimmen weitgehend überein (siehe Art. 13 VDSG), abgesehen von einer Be- stimmung über die Auskunftsbegehren an die diplomatischen Vertretungen der Schweiz im Ausland, die nur für den öffentlichen Sektor gilt (Art. 14 VDSG). Nach Absprache mit dem Eidgenössischen Departement für auswärtige Angelegenheiten und dem Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport wurde der Inhalt von Artikel 14 VDSG im E-VDSG nicht übernommen, weil er nicht mehr aktuell ist. Deshalb wird nun das Auskunftsrecht für beide Sektoren, den privaten und den öffentlichen, im gleichen Kapitel ge- regelt. Dieses folgt der Systematik des nDSG und schliesst an die Bestimmungen zu den Pflichten des Verantwortlichen und des Auftragsbearbeiters an.
Die verschiedenen Aspekte des Auskunftsrechts verteilen sich neu auf mehrere Artikel. Ein erster Artikel konzentriert sich auf die Modalitäten des Auskunftsrechts, insbesondere die Form der Auskunftserteilung. Ein zweiter Artikel regelt das Auskunftsrecht, wenn mehrere Verantwortliche für die Bearbeitung verantwortlich sind oder wenn Daten von einem Auftrags- bearbeiter bearbeitet werden. Ein dritter Artikel legt die Fristen fest, und ein vierter Artikel re- gelt die Ausnahmen von der Kostenlosigkeit des Auskunftsrechts.
Eine letzte Bestimmung präzisiert, welche Normen auch beim Recht auf Datenherausgabe und -übertragung anwendbar sind.
4.3.1 Auskunftsrecht
Art. 20 Modalitäten
Diese Bestimmung konkretisiert die in Artikel 25 nDSG vorgesehenen Modalitäten des Aus- kunftsrechts. Sie übernimmt teilweise Artikel 1 Absätze 1–3 VDSG.
Abs. 1
Artikel 20 E-VDSG konzentriert sich in Absatz 1 auf die Form des Auskunftsbegehrens. Im Wesentlichen wird der Inhalt von Artikel 1 Absatz 1 VDSG übernommen, gemäss dem die Person ihr Auskunftsrecht «in der Regel in schriftlicher Form beantragen» muss. Im Kom- mentar zur VDSG des Bundesamtes für Justiz 24 wird bereits präzisiert, dass in bestimmten Fällen und unter Vorbehalt des Einverständnisses des Inhabers der Datensammlung (neu
Vgl. Kommentar BJ, 3.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
des Verantwortlichen) die mündliche Form genügt. Der erhöhten Klarheit halber wurde Artikel
20 E-VDSG entsprechend formuliert.
Es kann hier ferner präzisiert werden, dass zur schriftlichen Form auch die elektronische Form gehört.
Abs. 2
Die in Artikel 20 Absatz 2 E-VDSG geregelte Auskunftserteilung erfolgt in der Regel schrift- lich, d. h. auf Papier oder elektronisch. Der schriftlichen Form wird zwar der Vorzug gegeben, doch sind andere Formen nicht ausgeschlossen. Die digitale Form umfasst auch auf einem Tonträger gespeicherte Personendaten, wie zum Beispiel Sprachanfragen, die mittels eines Sprachassistenten aufgezeichnet wurden. Wie in Artikel 1 Absatz 3 VDSG vorgesehen, kön- nen Personendaten auch an Ort und Stelle eingesehen werden, insbesondere, wenn sie auf verschiedene Dossiers verteilt oder besonders umfangreich sind oder wenn die verlangten Auskünfte der Erläuterung bedürfen. Bei der Einsichtnahme an Ort und Stelle muss die be- troffene Person gleichwohl die Möglichkeit haben, eine Fotokopie bestimmter Akten in ihrem Dossier zu verlangen. Die mündliche Mitteilung von Informationen, zum Beispiel am Telefon, ist ebenfalls möglich, sofern die betroffene Person eingewilligt hat.
Diese Dreifachlösung (schriftlich, durch Einsichtnahme an Ort und Stelle oder mündlich) ent- spricht Artikel 8 Absatz 5 DSG, wobei der bereits in Artikel 1 Absatz 2 VDSG vorgesehene elektronische Weg miteinbezogen wird. Damit wird in einer Rechtsgrundlage festgehalten, was auch das Bundesgericht befürwortet (siehe BGE 141 III 119).
Abs. 3
Werden Personendaten in einer technischen Form geliefert, die für die betroffene Person nicht lesbar und/oder nicht verständlich ist, muss der Verantwortliche imstande sein, ihr er- gänzende Erläuterungen zu geben, beispielsweise mündlich.
Abs. 4
Artikel 20 Absatz 4 E-VDSG übernimmt die bereits in Artikel 1 Absatz 2 Buchstaben a und b VDSG vorgesehenen Anforderungen, um die Sicherheit der übermittelten Informationen zu gewährleisten. So muss der Verantwortliche angemessene Massnahmen treffen, um die Identifizierung der betroffenen Person sicherzustellen und die Personendaten der betroffenen Person bei der Auskunftserteilung vor dem Zugriff unberechtigter Dritter zu schützen, egal in welcher Form die Auskunft erteilt wird. Zu denken ist insbesondere an Fälle, in denen die zu erteilenden Auskünfte besonders schützenswerte Personendaten enthalten, die sich bei- spielsweise auf die Gesundheit beziehen und die bei der Auskunftserteilung in mündlicher o- der elektronischer Form nicht hinreichend geschützt wären. Der Verantwortliche oder der Auf- tragsbearbeiter muss daher die elektronischen Nachrichten verschlüsseln oder einen gesi- cherten Internetzugang anbieten, wenn die Daten online eingesehen werden können. In sol- chen Fällen sind die Codes für den Zugriff auf die Informationen der betroffenen Person in ei- ner separaten Nachricht zu übermitteln (z. B. in einer separaten E-Mail oder einer SMS). Die betroffene Person muss bei ihrer Identifizierung mitwirken.
Abs. 5
Die Gründe für eine Verweigerung, Einschränkung oder Aufschiebung der Auskunft sind zu dokumentieren. In der Regel wird diese Dokumentationspflicht am einfachsten dadurch
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
erfüllt werden können, dass eine Kopie der schriftlichen Antwort an die betroffene Person auf- bewahrt wird. Zwar ergeben sich bei privaten Verantwortlichen aus Artikel 26 Absatz 4 nDSG keine Formvorschriften, wie der betroffenen Person eine Verweigerung, Einschränkung oder Aufschiebung der Auskunft mitgeteilt werden muss, jedoch bietet sich aus Beweisgründen eine schriftliche Zustellung an. Im Falle einer mündlichen Auskunft müsste die Dokumentation anderweitig sichergestellt werden (z. B. durch eine Telefonnotiz). Die Aufbewahrungsfrist der Aufzeichnungen beträgt mindestens drei Jahre.
Weitere Aspekte
Absatz 4 von Artikel 1 VDSG, der die Frist für die Auskunftserteilung betrifft, wird in einen ei- genständigen Artikel umgewandelt (siehe Art. 22 E-VDSG unten). Dasselbe gilt für die Ab- sätze 5 und 6 von Artikel 1 VDSG (siehe Art. 21 E-VDSG unten).
Absatz 7 von Artikel 1 VDSG zur Auskunft über Daten verstorbener Personen wird aufgeho- ben, weil das Parlament diese Möglichkeit nicht beibehalten wollte. Sie war in Artikel 16 E- DSG vorgesehen, wurde aber von den eidgenössischen Räten gestrichen. Deshalb ist sie auch in der Verordnung nicht wieder aufzunehmen.
Art. 21 Zuständigkeit
Zur Präzisierung der Zuständigkeit in den Fällen, in denen die Daten von mehreren Verant- wortlichen zusammen oder von einem oder mehreren Auftragsbearbeitern bearbeitet werden, wurde ein separater Artikel vorgesehen.
Abs. 1
In Absatz 1 wird Absatz 5 von Artikel 1 VDSG übernommen. Er hat allerdings terminologische Änderungen erfahren. So wurde zum Beispiel der Begriff «Inhaber der Datensammlung» durch «Verantwortlicher» ersetzt. Die Ausnahme von der Möglichkeit, bei jedem Verantwortli- chen das Auskunftsrecht geltend zu machen, wurde aufgehoben. Somit kann die betroffene Person nun ihr Auskunftsrecht immer und bei jedem Verantwortlichen geltend machen. Aus- serdem ist nicht mehr der Fall erfasst, in dem der Verantwortliche nicht «ermächtigt» ist, son- dern der Fall, in dem er nicht «zuständig» ist.
Abs. 2
Absatz 2 entspricht Artikel 1 Absatz 6 VDSG. Darin wird der im nDSG (Art. 5 Bst. k) einge- führte Begriff «Auftragsbearbeiter» aufgenommen und der Begriff «Inhaber der Datensamm- lung» durch «Verantwortlicher» ersetzt. Zur erhöhten Klarheit wurde der Absatz auch umfor- muliert, der materielle Gehalt der Bestimmung wurde jedoch nicht geändert.
Art. 22 Frist
Artikel 22 E-VDSG übernimmt ohne wesentliche Änderung den vierten Absatz von Artikel 1 VDSG. Er präzisiert den vom Parlament in Artikel 25 nDSG eingefügten Absatz 7, der die bis anhin in der Verordnung vorgesehene Frist von 30 Tagen auf Gesetzesstufe festlegt. Die Prä- zisierung, wonach der Entscheid über die Beschränkung des Auskunftsrechts begründet wer- den muss, wurde gestrichen, da diese Bestimmung bereits in Artikel 26 Absatz 4 nDSG auf- genommen wurde. Ferner wird der Begriff «Gesuchsteller» durch «betroffene Person» er- setzt, damit die Terminologie mit dem nDSG übereinstimmt.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Im Wesentlichen bedeutet die Bestimmung, dass der Verantwortliche der betroffenen Person die verlangte Auskunft innert 30 Tagen erteilen oder ihr innert dieser Frist mitteilen muss, das er die Auskunft verweigert, einschränkt oder aufschiebt. Absatz 2 ist nur anwendbar, wenn der Verantwortliche nicht in der Lage ist, die Auskunft innert 30 Tagen seit Eingang des Be- gehrens zu erteilen (und nicht im Fall, in dem er das Auskunftsrecht im Sinne von Art. 26 nDSG einschränkt): In dem Fall muss der Verantwortliche die Frist mitteilen, in der die Aus- kunft erfolgen wird.
Art. 23 Ausnahmen von der Kostenlosigkeit
Der Titel der Bestimmung wird gegenüber Artikel 2 VDSG redaktionell geändert.
Buchstabe a von Absatz 1 VDSG, der querulatorische Auskunftsgesuche betrifft, wird aufge- hoben. Solche Fälle werden neu im nDSG geregelt, das in Artikel 26 Absatz 1 Buchstabe c vorsieht, dass der Verantwortliche die Auskunft verweigern, einschränken oder aufschieben kann, wenn das Auskunftsgesuch offensichtlich querulatorisch ist.
Buchstabe b von Absatz 1 sowie Absatz 2 von Artikel 2 VDSG werden im Wesentlichen bei- behalten. Der Ausdruck «ausnahmsweise» wird gestrichen, da in der Sachüberschrift des Ar- tikels bereits von «Ausnahmen» die Rede ist; der Begriff «Gesuchsteller» (neuer Abs. 3) wird aus Gründen der terminologischen Übereinstimmung mit dem nDSG durch «betroffene Per- son» ersetzt. Der Ausdruck «besonders grosser Arbeitsaufwand» wird durch «unverhältnis- mässiger Aufwand» ersetzt, damit die Formulierung mit den vom Nationalrat in Artikel 25 Ab- satz 6 nDSG vorgenommenen Änderungen übereinstimmt. Es stellt zum Beispiel keinen un- verhältnismässigen Aufwand dar, wenn der Verantwortliche Zugang zu zahlreichen Perso- nendaten gewähren muss, wenn sein Interesse gerade darin besteht, möglichst viele Daten zu sammeln. Dasselbe gilt, wenn der Arbeitsaufwand gross ist, weil der Verantwortliche nicht strukturiert genug organisiert ist (Missachtung des Grundsatzes «Privacy by Design»; denn gemäss diesem Grundsatz müssen die Verantwortlichen oder Auftragsbearbeiter über ein System verfügen, das einen einfachen Zugang zu den bearbeiteten Daten ermöglicht). Der Betrag von 300 Franken schliesslich bleibt unverändert. Gemäss dem Landesindex der Kon- sumentenpreise hat sich nämlich der Betrag seit seiner Einführung in der Verordnung nur ge- ringfügig verändert. Zudem soll er auf die betroffene Person nicht abschreckend wirken.
4.3.2 Recht auf Datenherausgabe oder -übertragung
Art. 24
Dieser Artikel präzisiert, dass verschiedene Anforderungen im Zusammenhang mit dem Aus- kunftsrecht sinngemäss für das Recht auf Datenherausgabe und -übertragung (Recht auf Da- tenportabilität) gelten. Das betrifft die Form, in der die betroffene Person die Portabilität ihrer Daten verlangen kann (Art. 20 Abs. 1 E-VDSG), die angemessenen Massnahmen, die getrof- fen werden müssen, um die Identifizierung der betroffenen Person sicherzustellen und ihre Personendaten bei der Auskunftserteilung vor dem Zugriff unberechtigter Personen zu schüt- zen (Art. 20 Abs. 4 E-VDSG), sowie die Voraussetzungen für die Einschränkung der Portabili- tät (Dokumentation der Gründe und Aufbewahrungsdauer, Art. 20 Abs. 5 E-VDSG). Dasselbe gilt für die Bestimmungen betreffend den Verantwortlichen, bei dem das Recht auf Daten- portabilität geltend gemacht werden kann, wenn es mehrere Verantwortliche gibt (Art. 21 Abs. 1 E-VDSG), oder betreffend die Datenbearbeitung durch einen Auftragsbearbeiter (Art. 21 Abs. 2 E-VDSG). Auch die Bestimmungen zu den Fristen (Art. 22 E-VDSG) und den Ausnahmen von der Kostenlosigkeit (Art. 23 E-VDSG) sind sinngemäss anwendbar.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
4.4 Besondere Bestimmungen zur Datenbearbeitung durch private Personen
Art. 25 Datenschutzberaterin oder Datenschutzberater
In Artikel 10 Absatz 2 nDSG werden in nicht abschliessender Weise zwei Aufgabenbereiche der Datenschutzberaterin oder des Datenschutzberaters eines privaten Verantwortlichen ge- regelt: Sie oder er schult und berät den privaten Verantwortlichen in Fragen des Datenschut- zes (Bst. a) und wirkt beim Vollzug der Datenschutzvorschriften mit (Bst. b). In Artikel 25 E- VDSG werden diese zwei Aufgabenbereiche jeweils konkretisiert. Dabei werden gewisse Re- gelungen des Artikels 12b VDSG in Artikel 25 E-VDSG aufgenommen.
Abs. 1 Bst. a
Diese Bestimmung wurde mit leichten Anpassungen vom Artikel 12b Absatz 1 Buchstabe a VDSG übernommen.
Nach Buchstabe a muss die Datenschutzberaterin oder der Datenschutzberater die Bearbei- tung von Personendaten sowie deren Voraussetzungen prüfen und dem Verantwortlichen Korrekturmassnahmen empfehlen, wenn sie oder er feststellt, dass Vorschriften über den Da- tenschutz verletzt wurden. Sie oder er überwacht also die Einhaltung der Datenschutzgesetz- gebung und allfälliger interner Datenschutzvorschriften des Verantwortlichen. Mit der Ergän- zung «sowie deren Voraussetzungen» wird präzisiert, dass die Beraterin oder der Berater auch prüft, ob die internen Datenschutzvorschriften mit der Datenschutzgesetzgebung verein- bar sind. Der Verantwortliche darf gegen die Datenschutzberaterin oder den Datenschutzbe- rater keinesfalls Massnahmen mit Sanktionscharakter ergreifen, wenn diese oder dieser ihre oder seine Aufgabe erfüllt.
In diesem Zusammenhang ist darauf hinzuweisen, dass die Datenschutzberaterin oder der Datenschutzberater, wie der Name bereits suggeriert, als beratende und unterstützende Stelle zu verstehen ist. So ist der Verantwortliche aufgrund seiner Entscheidungskompetenz für die Einhaltung des Datenschutzes insbesondere gegenüber der betroffenen Person allein verantwortlich. Die Aufgabe nach Buchstabe a zieht also grundsätzlich keine Haftung der Da- tenschutzberaterin oder des Datenschutzberaters nach sich, wenn der Verantwortliche die Datenschutzgesetzgebung verletzt.
Abs. 1 Bst. b
Diese neue Bestimmung konkretisiert die Rolle der Datenschutzberaterin oder des Daten- schutzberaters bei der Erstellung von Datenschutz-Folgenabschätzungen.
Aufgrund von Artikel 23 Absatz 4 nDSG kann der private Verantwortliche nach der Erstellung einer Datenschutz-Folgenabschätzung von der Konsultation des EDÖB absehen, wenn er eine Datenschutzberaterin oder einen Datenschutzberater nach Artikel 10 nDSG ernannt und diese oder diesen hinsichtlich der Folgenabschätzung konsultiert hat. Es genügt nicht, ihr o- der ihm die Ergebnisse der Folgenabschätzung vorzulegen, nachdem diese durchgeführt worden ist. Denn die Datenschutzberaterin oder der Datenschutzberater muss bei der Erstel- lung der Folgenabschätzung mitwirken. Zudem überprüft sie oder er insbesondere die Risiko- bewertung sowie die vom Verantwortlichen vorgeschlagenen Massnahmen. Ein solcher Ein- bezug der Datenschutzberaterin oder des Datenschutzberaters wäre vom Verantwortlichen idealerweise immer vorzusehen, verpflichtend ist er aber nur für den Fall gemäss Artikel 23 Absatz 4 nDSG, wenn von der Konsultation des EDÖB abgesehen werden soll.
Abs. 2 38/87
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Dieser Absatz entspricht inhaltlich Artikel 12b Absatz 2 Buchstaben b und c VDSG.
Die Aufzählung, zu welchen Dokumenten die Datenschutzberaterin oder der Datenschutzbe- rater Zugang haben muss, wurde dabei der Terminologie im nDSG angepasst. Der Zugang ist dabei nicht uneingeschränkt, sondern es ist nur Zugang zu denjenigen Unterlagen zu ge- ben, welche die Datenschutzberaterin oder der Datenschutzberater auch tatsächlich zur Auf- gabenerfüllung benötigt. So ist insbesondere der Zugang zu Personendaten nur dann zu ge- währen, wenn diese zur Aufgabenerfüllung benötigt werden. Prüft die Datenschutzberaterin oder der Datenschutzberater beispielsweise in genereller Weise die internen Datenschutzvor- schriften oder Prozesse zur Datenbearbeitung, wird sie oder er in der Regel keine Personen- daten einsehen können müssen.
Artikel 12b Absatz 2 Buchstabe a VDSG wird dagegen nicht übernommen, weil die darin ge- nannte Anforderung neu im Gesetz vorgesehen ist (Art. 10 Abs. 3 Bst a nDSG).
Aufhebung von Artikel 12a VDSG
Diese Bestimmung wird aufgehoben, da ihr Inhalt neu ins Gesetz (Art. 10 Abs. 3 Bst. b und c nDSG) aufgenommen wurde.
Art. 26 Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkei- ten
Aufgrund von Artikel 12 nDSG müssen die Verantwortlichen und die Auftragsbearbeiter je ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Dieses muss einige Mindestangaben ent- halten: die Identität des Verantwortlichen, den Bearbeitungszweck, eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten, die Kate- gorien der Empfängerinnen und Empfänger, wenn möglich die Aufbewahrungsdauer der Per- sonendaten oder die Kriterien zur Festlegung dieser Dauer sowie eine allgemeine Beschrei- bung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 nDSG, und, falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Ga- rantien nach Artikel 16 Absatz 2 nDSG.
Für manche KMU kann das Führen eines solchen Verzeichnisses einen unverhältnismässi- gen Verwaltungsaufwand bedeuten, im Vergleich zu den möglichen Risiken, welche die Da- tenbearbeitung für die Persönlichkeit der betroffenen Personen mit sich bringt. Deshalb wird die Möglichkeit eingeräumt, dass der Bundesrat Ausnahmen von der Pflicht zur Führung ei- nes solchen Verzeichnisses vorsieht. Da der Bundesrat aufgrund von Artikel 12 Absatz 5 nDSG Ausnahmen für Unternehmen, einschliesslich Einzelunternehmen, vorsehen kann, ist er dementsprechend auch befugt, diese Ausnahmen bei natürlichen Personen und anderen Rechtseinheiten wie Vereinen und Stiftungen anzuwenden. Dies erscheint angemessen, weil das Führen des Verzeichnisses für sie, ebenso wie für die KMU, einen unverhältnismässigen Aufwand bedeuten könnte.
Artikel 26 konkretisiert somit Artikel 12 Absatz 5 nDSG, indem er bestimmt, für wen diese Ausnahmen gelten und in welchen Fällen die Risiken von Persönlichkeitsverletzungen gering sind (vgl. Botschaft, BBl 2017 7037). Er sieht vor, dass Unternehmen und andere privatrecht- liche Organisationen mit weniger als 250 Mitarbeitenden am Anfang eines Jahres (unabhän- gig vom Beschäftigungsgrad) sowie natürliche Personen von der Pflicht befreit sind, ein Ver- zeichnis der Bearbeitungstätigkeiten zu führen. Allerdings gilt dies nur, wenn nicht in grossem Umfang besonders schützenswerte Personendaten bearbeitet werden (Bst. a) und wenn kein Profiling mit hohem Risiko durchgeführt wird (Bst. b). Mit anderen Worten sind nur KMU,
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
die Datenbearbeitungen mit hohem Risiko durchführen, verpflichtet, ein Verzeichnis der Bear- beitungstätigkeiten zu führen. Für die Vorgabe in Buchstabe a sei auf die Ausführungen zur gleich ausgestalteten Vorgabe in Artikel 4 Absatz 1 Buchstabe a E-VDSG zur Pflicht von pri- vaten Personen zur Erstellung eines Bearbeitungsreglements verwiesen. Natürlich bleibt es auch den KMU, die von der Pflicht ausgenommen sind, nicht verwehrt, freiwillig ein Verzeich- nis der Bearbeitungstätigkeiten zu führen. Gerade wenn ein Verantwortlicher regelmässig Personendaten bearbeitet, ist es ein nützliches und einfaches Instrument, um einen Überblick über die Bearbeitungstätigkeiten zu behalten, was dem Verantwortlichen auch die Einhaltung anderer Verpflichtungen, wie etwa der Informationsplicht, erleichtern kann.
4.5 Besondere Bestimmungen zur Datenbearbeitung durch Bundesorgane
Datenschutzberaterin oder -berater Die Artikel 27–30 E-VDSG ersetzen Artikel 23 VDSG, der sich mit der Datenschutzberaterin oder dem Datenschutzberater von Bundesorganen befasst.
Art. 27 Ernennung
Artikel 27 E-VDSG setzt Artikel 10 Absatz 4 nDSG und Artikel 32 der Richtlinie (EU) 2016/680 um. Die Regelung, wonach mehrere Bundesorgane gemeinsam eine Datenschutz- beraterin oder einen Datenschutzberater bezeichnen können, soll es insbesondere kleineren Bundesorganen oder Departementen mit zentralisierter Organisationstruktur ermöglichen, sinnvolle und ressourceneinsparende Synergien zu nutzen. Hingegen kann beispielsweise von grösseren Bundesämtern erwartet werden, dass diese für sich alleine über eine Daten- schutzberaterin oder einen Datenschutzberater verfügen. Natürlich steht es den Bundesorga- nen auch offen, mehrere Beraterinnen und Berater zu bezeichnen.
Art. 28 Anforderungen und Aufgaben
Artikel 28 Absatz 1 E-VDSG übernimmt in Buchstabe a die Anforderung des Artikels 12a Ab- satz 2 letzter Teilsatz VDSG. In Buchstabe b wird – wie bisher in Artikel 12b Absatz 2 Buch- stabe a VDSG geregelt und analog zur Regelung bei den privaten Verantwortlichen in Artikel 10 Absatz 3 Buchstabe a nDSG – neu für alle Bundesorgane verbindlich vorgesehen (bisher mussten nur diejenigen Bundesorgane die Anforderungen von Art. 12a und Art. 12b VDSG erfüllen, die sich von der Pflicht befreien wollten, ihre Datensammlungen anzumelden, s. Art. 23 Abs. 2 VDSG), dass die Datenschutzberaterin oder der Datenschutzberater ihre oder seine Funktion fachlich unabhängig und weisungsungebunden ausübt. Dadurch wird die Rolle der Datenschutzberaterin oder des Datenschutzberaters in den üblicherweise hierar- chisch geprägten Bundesorganen gestärkt und institutionalisiert, damit sie oder er ihre oder seine Aufgaben wirksam erfüllen kann. Die Unabhängigkeit der Datenschutzberaterin oder des Datenschutzberaters ist vor allem durch organisatorische Massnahmen sicherzustellen: So ist insbesondere zu verhindern, dass sich die Tätigkeit als Datenschutzberaterin oder -be- rater negativ auf das Mitarbeitergespräch auswirken kann.
Die Aufgaben der Datenschutzberaterin oder des Datenschutzberaters des Bundesorganes in Absatz 2 wurden terminologisch mit der Bestimmung bei den privaten Verantwortlichen (Art. 25 Abs. 1 E-VDSG) abgestimmt. In Absatz 2 Buchstabe b wird analog zu Artikel 25 Absatz 1 Buchstabe b E-VDSG festgehalten, dass die Datenschutzberaterin oder der Datenschutzbe- rater an der Datenschutz-Folgenabschätzung mitwirkt und diese überprüft. Es wird im Gegen- satz dazu aber nicht auf Artikel 23 Absatz 4 nDSG verwiesen, da dieser nur für private Ver- antwortliche gilt. Absatz 2 Buchstabe a ist identisch zu Artikel 25 Absatz 1 Buchstabe a E- VDSG. Es kann daher sinngemäss auf die dortigen Ausführungen verwiesen werden. Wie
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
bereits bei der Regelung des privaten Verantwortlichen erwähnt, ist die Datenschutzberaterin oder der Datenschutzberater als beratende und unterstützende Stelle zu verstehen und nicht als Überwachungsorgan. In Bezug auf die Prüfung von Bearbeitungen und Empfehlung von Korrekturmassnahmen ist daher darauf hinzuweisen, dass es nicht etwa darum geht, eine ak- tive Prüfpflicht einzuführen beziehungsweise systematische Kontrollen aller Datenbearbeitun- gen vorzuschreiben. Vielmehr ist es ausreichend, wenn sie oder er aktiv wird, falls beispiels- weise Anfragen der verantwortlichen Stellen zur Prüfung einer Datenbearbeitung vorliegen oder ihr oder ihm Hinweise zugetragen werden, dass Datenschutzvorschriften verletzt worden sind. Natürlich bleibt es aber auch unbenommen, dass die Datenschutzberaterin oder der Da- tenschutzberater proaktiv prüft. Die Aufgabe in Absatz 2 Buchstabe c, Verletzungen der Da- tensicherheit zu melden, ergibt sich aus Artikel 19 Absatz 4 E-VDSG und wird hier vollstän- digkeitshalber nochmals festgehalten. Weiter dient die Datenschutzberaterin oder der Daten- schutzberater gemäss Absatz 2 Buchstabe d als Anlaufstelle für die betroffenen Personen, beispielsweise im Falle eines Auskunftsgesuches nach Artikel 25 nDSG.
Art. 29 Pflichten der Bundesorgane
Artikel 29 Absatz 1 ist ebenfalls identisch zur Regelung bei den privaten Verantwortlichen in Artikel 25 Absatz 2 Buchstabe b E-VDSG. Auch hier kann sinngemäss auf die dortigen Aus- führungen verwiesen werden. Stehen spezialgesetzliche Grundlagen dem Zugang der Daten- schutzberaterin oder des Datenschutzberaters zu gewissen Informationen, insbesondere Per- sonendaten, entgegen, gehen diese gemäss dem allgemeinen Grundsatz der lex specialis vor. Gegebenenfalls sind die Personendaten zu schwärzen, sofern die Datenschutzberaterin oder der Datenschutzberater für ihre oder seine Aufgabenerfüllung Zugang zu Informationen benötigt, die Personendaten beinhalten.
Absatz 2 wurde neu eingefügt und sieht eine analoge Regelung wie in Artikel 10 Absatz 3 Buchstabe d nDSG bei den privaten Verantwortlichen vor. Dadurch soll den betroffenen Per- sonen die Ausübung ihrer Rechte erleichtert werden, indem zumindest eine fachliche An- sprechperson unmittelbar ausfindig gemacht werden kann. Dabei ist es nicht erforderlich, den Namen der Datenschutzberaterin oder des Datenschutzberaters zu veröffentlichen. So ge- nügt es, wenn etwa eine E-Mail-Adresse der fachlich zuständigen Stelle angegeben wird. Weiter sind auch dem EDÖB die Kontaktdaten der Datenschutzberaterin oder des Daten- schutzberaters mitzuteilen.
Art. 30 Anlaufstelle des EDÖB
Artikel 30 E-VDSG übernimmt in präzisierter Form den Sinngehalt von Artikel 23 Absatz 3 VDSG. Die Formulierung wurde aber angepasst, da sie als Kontaktbeschränkung missver- standen wurde. Den Bundesorganen soll es unbenommen bleiben, auch über andere Stellen mit dem EDÖB zu verkehren und nicht nur über die Datenschutzberaterin oder den Daten- schutzberater. Es ist nicht die Meinung, dass sie oder er als Verbindungsperson für den EDÖB fungiert, sondern als Anlaufstelle, da sie oder er in Fragen im Zusammenhang mit der Bearbeitung von Personendaten durch das eigene Bundesorgan über die notwendigen Fach- kenntnisse und das interne Wissen verfügt.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Projekte von Bundesorganen zur automatisierten Bearbeitung von Personendaten Art. 31 Information an die Datenschutzberaterin oder den Datenschutzberater
Die Bestimmung in Artikel 31 E-VDSG stellt eine teilweise Übernahme des Artikels 20 Ab- satz 2 VDSG dar.
Artikel 20 Absatz 2 VDSG enthält für Bundesorgane bereits heute die Pflicht, alle Projekte zur automatisierten Bearbeitung von Personendaten unverzüglich dem Datenschutzverantwortli- chen oder gegebenenfalls dem EDÖB zu melden, damit die Erfordernisse des Datenschutzes sogleich berücksichtigt werden. In Artikel 31 E-VDSG wird die Meldung an den EDÖB nun gestrichen, da jedes Bundesorgan neu über einen Datenschutzberater oder eine Daten- schutzberaterin verfügen muss (Art. 27 E-VDSG) und somit die Meldung an den Berater oder die Beraterin aus Sicht des Bundesrats ausreichend ist.
In zeitlicher Hinsicht wird auf Gesetzesebene bereits festgelegt, dass der Grundsatz Daten- schutz durch Technik bereits ab Planung eines Projektes zu berücksichtigen ist (Art. 7 nDSG). Dieser Gedanke wird hier aufgenommen. Die Idee hier ist, dass der Datenschutzbe- rater oder die Datenschutzberaterin möglichst frühzeitig in die Projektplanung miteinbezogen wird, so dass er oder sie datenschutzrechtliche Anforderungen rechtzeitig einbringen kann. Dies gilt einerseits für Projekte, die neue automatisierte Bearbeitungen von Personendaten vorsehen, andererseits aber auch für Anpassungen nach Abschluss eines Projekts. So ist die Datenschutzberaterin oder der Datenschutzberater beispielsweise auch bei einer Anpassung eines bereits bestehenden Informationssystems miteinzubeziehen, sofern die Anpassung Än- derungen an der Bearbeitung von Personendaten mit sich bringt. Der Ausdruck «unverzüg- lich» wurde durch «rechtzeitig» ersetzt, eine materiell-rechtliche Änderung ist nicht beabsich- tigt. Die Information soll nach wie vor so rasch als möglich erfolgen.
Art. 32 Meldung an den EDÖB
In Artikel 32 Absatz 1 E-VDSG wird geregelt, dass das verantwortliche Bundesorgan dem EDÖB die geplanten automatisierten Bearbeitungstätigkeiten zum Zeitpunkt der Projektfrei- gabe oder des Entscheids zur Entwicklung zu melden hat. Der EDÖB nimmt diese Meldung in das Register der Bearbeitungstätigkeiten gemäss Artikel 56 nDSG auf, welche aber nicht veröffentlicht wird (siehe Art. 43 Abs. 2 E-VDSG). Im Vergleich zur subsidiären Meldung an den EDÖB nach Artikel 20 Absatz 2 VDSG, die auf eine inhaltliche Prüfung der Projekte ab- zielt, dient die vorliegende Meldung dem EDÖB hingegen zur reinen Übersicht über geplante Projekte, in denen automatisiert Personendaten bearbeitet werden sollen. In erster Linie soll die Meldung es dem EDÖB ermöglichen, sich ein Gesamtbild über die geplanten Projekte verschaffen zu können und so auch seine Ressourcenplanung im Bereich der Beratungstätig- keiten und Begleitung von Gesetzgebungsprojekten optimieren zu können. In diesem Sinn verfolgt Artikel 32 E-VDSG einen anderen Zweck als die Information der Datenschutzberate- rin oder des Datenschutzberaters in Artikel 31 E-VDSG.
Wie die Meldung der Verzeichnisse der bereits bestehenden Bearbeitungstätigkeiten gemäss Artikel 12 nDSG, nimmt der EDÖB auch die Meldungen der geplanten Bearbeitungstätigkei- ten im Register der Bearbeitungstätigkeiten gemäss Artikel 56 nDSG auf. Da sich die Pro- jekte im Zeitpunkt der Anmeldung aber noch in einem frühen Stadium befinden, beschränkt sich der Inhalt der Meldung gemäss Absatz 2 auf eine Teilmenge der Angaben, die in Arti- kel 12 Absatz 2 nDSG verlangt werden, nämlich auf die Buchstaben a–d. Das verantwortliche Bundesorgan aktualisiert diesen Eintrag gemäss Absatz 3 beim erfolgreichen Abschluss des Projektes, also beim Übergang in den produktiven Betrieb (bzw. überführt den Eintrag in 42/87
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
eine Meldung nach Art. 12 Abs. 4 nDSG), oder bei der Projekteinstellung (d. h. Löschung des Eintrags).
Pilotversuche Art. 33 Unentbehrlichkeit der Testphase
Aufgrund von Artikel 35 Absatz 1 nDSG kann der Bundesrat vor Inkrafttreten eines Gesetzes im formellen Sinn die automatisierte Bearbeitung von besonders schützenswerten Personen- daten oder andere Datenbearbeitungen nach Artikel 34 Absatz 2 Buchstaben b und c nDSG bewilligen, wenn bestimmte Voraussetzungen kumulativ erfüllt sind. Eine dieser Vorausset- zungen besteht darin, dass für die praktische Umsetzung der Datenbearbeitung eine Test- phase vor dem Inkrafttreten, insbesondere aus technischen Gründen, unentbehrlich ist. Um die Regelungsdichte in Artikel 35 nDSG zu vermindern, hat der Bundesrat diese Präzisierun- gen von Artikel 17a Absatz 2 DSG in die Verordnung verschoben.
Artikel 33 E-VDSG bestimmt, in welchen Fällen eine Testphase als unentbehrlich anzusehen ist. Er übernimmt mit einigen redaktionellen Änderungen Artikel 17a Absatz 2 DSG. So ist etwa der Begriff der «technischen Neuerungen» wie bis anhin zu verstehen: Davon umfasst wird einerseits der Einsatz neuer Technologien, aber auch der Einsatz von bereits bekannter Technologie in einer neuen Umgebung bzw. beim Umsetzen neuer Lösungen. Als Beispiel dafür kann die SwissCovid App 25 herangezogen werden: Sie basiert zwar auf bereits bekann- ten Technologien wie Bluetooth, welche aber noch nie in einer vergleichbaren Lösung einge- setzt wurden. Einzig Buchstabe c wird angepasst: Neu werden vom Wortlaut alle Abrufverfah- ren erfasst und nicht mehr nur diejenigen, die einen Zugang für kantonale Behörden schaffen. Dieser einschränkende Wortlaut hatte entstehungsgeschichtliche Gründe, in der Sache kann aber nicht entscheidend sein, wer der Adressatenkreis des Abrufverfahrens ist, sondern der technische Aspekt steht für die Annahme der Unentbehrlichkeit im Vordergrund (vgl. Art. 35 Abs. 1 Bst. c nDSG). Auch wenn der Begriff des Abrufverfahrens aus dem nDSG verschwun- den ist, da das Abrufverfahren neu keiner gesetzlichen Grundlage mehr bedarf, so ist der Tat- bestand des Abrufverfahrens im vorliegenden Zusammenhang noch immer von Relevanz.
Mindestens eine Bedingung nach Buchstaben a–c muss erfüllt sein, was insbesondere be- deutet, dass ein Pilotversuch nicht nur aus reinen Zeitgründen eingesetzt werden darf.
Art. 34 Bewilligung
Diese Bestimmung übernimmt Artikel 27 VDSG mit angepassten Verweisen auf das nDSG. Einzig Absatz 6 wurde neu hinzugefügt: Um die Regelungsdichte im nDSG zu reduzieren, wird der Inhalt von Artikel 17a Absatz 3 DSG, wonach die Modalitäten der automatisierten Datenbearbeitung in einer Verordnung geregelt werden, neu in der Verordnung festgehalten. Damit wird die Transparenz dieser Pilotversuche sichergestellt; zudem können in der Verord- nung Massnahmen zum Schutz der betroffenen Personen festgelegt werden.
Art. 35 Evaluationsbericht
Diese Bestimmung übernimmt Artikel 27a VDSG.
Vgl. Art. 60a Epidemiengesetz vom 28. September 2012 (SR 818.101) und die Verordnung vom 24. Juni 2020 über das Proximity-Tra- cing-System für das Coronavirus Sars-CoV-2 (SR 818.101.25).
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Datenbearbeitung für nicht personenbezogene Zwecke Art. 36
Um sicherzustellen, dass die Anwendung der Ausnahmen nach Artikel 39 Absatz 2 nDSG nicht über den gesetzlichen Rahmen hinausgeht, wird in der Verordnung präzisiert, dass bei einer Datenbearbeitung für nicht personenbezogene Zwecke (z. B. für Forschung, Planung oder Statistik), die gleichzeitig einem anderen Zweck dient, diese Ausnahmen nur für die Be- arbeitung zu den in Artikel 39 nDSG genannten Zwecken anwendbar sind.
An dieser Stelle sei auch darauf hingewiesen, dass im E-VDSG keine Ausführungsbestim- mung zu Artikel 33 nDSG vorgesehen wurde. Artikel 33 nDSG verlangt, dass der Bundesrat die Kontrollverfahren und die Verantwortung für den Datenschutz regelt, wenn ein Bundesor- gan Personendaten zusammen mit anderen Bundesorganen, mit kantonalen Organen oder mit privaten Personen bearbeitet. Die Bestimmung wird direkt im sektoriellen Verordnungs- recht umgesetzt, eine bereichsübergreifende Regelung im E-VDSG ist daher nicht notwendig.
4.6 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
Art. 37 Sitz und ständiges Sekretariat
Diese Bestimmung entspricht grundsätzlich Artikel 30 VDSG.
Artikel 37 Absatz 1 E-VDSG Absatz 1 bleibt materiell unverändert. Auf die bisherige Nennung des Sekretariats wird aber hier verzichtet, da sich durch die Änderung der Terminologie von «Beauftragten» zu «EDÖB» bereits ergibt, dass damit die Behörde als Ganzes gemeint ist und somit auch das Sekretariat umfasst wird.
Artikel 37 Absatz 2 E-VDSG regelt das Arbeitsverhältnis des ständigen Sekretariats des EDÖB. Inhaltlich entspricht die Bestimmung dem heutigen Artikel 30 Absatz 2 VDSG. Sie ent- hält im Vergleich zum geltenden Recht aber (terminologische) Anpassungen und eine Ergän- zung. Die oder der Beauftragte und das ständige Sekretariat des EDÖB bilden auch nach der Totalrevision des DSG eine dezentralisierte Verwaltungseinheit ohne Rechtspersönlichkeit, die der Bundeskanzlei administrativ zugeordnet ist (Art. 43 Abs. 4 zweiter Satz nDSG, Art. 2 Abs. 1 Bst. e [BPG] 26, Art. 2 Abs. 3 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 27 [RVOG] sowie Art. 8 Abs. 1 Bst. b i. V. m. Anhang 1 Bst. A Ziff. 2.1.1 der Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 1998 28 [RVOV]). Wie bisher ist in Artikel 43 Absatz 5 zweiter Satz nDSG vorgesehen, dass die oder der Beauftragte ihr bzw. sein Personal selbst anstellt und in diesem Rahmen über gewisse Kompetenzen verfügt. So werden beispielsweise die Arbeitsverträge des Personals des EDÖB von der bzw. dem Beauftragten unterzeichnet. Die oder der Beauftragte gilt für das Sekretariat des EDÖB aber auch weiterhin nicht als personal- oder vorsorgerechtlicher Ar- beitgeber im Sinne des BPG. Arbeitgeber ist gemäss Artikel 3 Absatz 1 Buchstabe a BPG der Bundesrat. Auf das Arbeitsverhältnis der Angestellten des ständigen Sekretariats des EDÖB ist deshalb gemäss Artikel 37 Absatz 2 erster Satz E-VDSG weiterhin die Bundespersonalge- setzgebung anwendbar. Somit sind weiterhin die Bundespersonalverordnung vom 3. Juli
26 SR 172.220.1 27 SR 172.010 28 SR 172.010.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
2001 29 (BPV), die Verordnung des EFD vom 6. Dezember 2001 zur Bundespersonalverord- nung 30 (VBPV) und die Verordnung vom 22. November 2017 über den Schutz von Personen- daten des Bundespersonals 31 (BPDV) anwendbar. Der bisherige Artikel 30 Absatz 2 VDSG erfährt diesbezüglich lediglich eine terminologische Anpassung («Angestellte des ständigen Sekretariats des EDÖB» statt «Sekretariat des Beauftragten» und «Bundespersonalgesetz- gebung» statt «Bundespersonalgesetz [...] sowie [...] dessen Vollzugsbestimmungen»). Zu- sätzlich wird in Artikel 37 Absatz 2 zweiter Satz E-VDSG klargestellt, dass die Angestellten des ständigen Sekretariats des EDÖB im Rahmen des Vorsorgewerks Bund bei der Pensi- onskasse des Bundes PUBLICA gegen die wirtschaftlichen Folgen von Alter, Invalidität und Tod versichert sind. Diese Ergänzung bringt keine materielle Änderung mit sich, sondern hält lediglich die auch schon bisher bestehende vorsorgerechtliche Regelung für das ständige Sekretariat des EDÖB ausdrücklich fest (vgl. Art. 32a Abs. 1 und Art. 32d Abs. 1 BPG). Das Personal bleibt demnach gemäss den Bestimmungen des Vorsorgereglements vom 15. Juni 2007 für die Angestellten und die Rentenbeziehenden des Vorsorgewerks Bund 32 (VRAB) versichert.
Betreffend das Arbeitsverhältnis des ständigen Sekretariats des EDÖB wird also vorläufig der Status quo beibehalten. Dies rechtfertigt sich insbesondere auch deshalb, weil die administra- tive Zuordnung zur Bundeskanzlei dem EDÖB erlaubt, seine Ressourcen auf den operativen Betrieb zu konzentrieren. Die Zusammenarbeit zwischen der Bundeskanzlei und dem EDÖB ist so ausgestaltet, dass die Unabhängigkeit des EDÖB gewährleistet bleibt. Gleichwohl stellt sich die Frage, ob der oder dem Beauftragten gegenüber den Angestellten des ständigen Sekretariats personal- und vorsorgerechtliche Arbeitgeberbefugnisse zukommen sollten. Diese Frage ist bei nächster Gelegenheit auf formell-gesetzlicher Stufe zu klären. Die koordi- nierte Überprüfung und Anpassung der spezialgesetzlichen Rechtsgrundlagen für die Daten juristischer Personen, die in den fünf Jahren nach Inkrafttreten des nDSG erfolgen soll (vgl. Art. 71 nDSG), könnte dazu Gelegenheit bieten.
Die Ausführungsbestimmungen zum Arbeitsverhältnis der oder des Beauftragten sind dage- gen nicht durch den Bundesrat, sondern durch die Bundesversammlung zu erlassen. Denn das Arbeitsverhältnis der oder des Beauftragten wird neu mit der Wahl durch die Vereinigte Bundesversammlung begründet (Art. 43 Abs. 1 nDSG). Im Rahmen der parlamentarischen Initiative 21.443 SPK-N wird ein Entwurf für eine Verordnung der Bundesversammlung aus- gearbeitet, der die Ausführungsbestimmungen zum Arbeitsverhältnis der oder des Beauftrag- ten enthält.
Artikel 30 Absatz 3 VDSG wurde nicht beibehalten, da der EDÖB neu ein eigenständiges Budget führt, welches in Artikel 45 nDSG sowie in Artikel 142 Absätze 2 und 3 des Parla- mentsgesetzes vom 13. Dezember 2002 33 (nParlG) abschliessend geregelt wird.
Art. 38 Kommunikationsweg
Artikel 38 E-VDSG stellt weitgehend eine Übernahme von Artikel 31 Absätze 1 und 1bis VDSG dar. Artikel 31 Absatz 2 wurde nicht in den E-VDSG übernommen, da sich aus der Unabhän- gigkeit und der Weisungsungebundenheit des EDÖB ohnehin ergibt, dass der EDÖB mit
29 SR 172.220.111.3 30 SR 172.220.111.31 31 SR 172.220.111.4 32 SR 172.220.141.1 33 SR 171.10
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
anderen Verwaltungseinheiten direkt kommunizieren kann. Die Streichung führt daher zu kei- ner materiell-rechtlichen Änderung. Im Vergleich zu Artikel 31 VDSG wurde der erste Absatz geändert. Mit der neuen Formulierung soll präzisiert werden, dass der EDÖB bei Fragen, die nicht auf der Traktandenliste einer Bundesratssitzung stehen, auch mit dem Bundesrat in Kontakt treten kann, indem er z. B. Stellungnahmen an diesen weiterleiten lässt. Abgesehen davon bleibt Absatz 1 inhaltlich unverändert, weil die Bundeskanzlerin oder der Bundeskanz- ler sämtliche Mitteilungen an den Bundesrat weiterleiten muss und hierbei keinen Handlungs- spielraum hat. Dies gilt auch für das Mitberichtsverfahren. Bei Absatz 2 wurde einzig die For- mulierung leicht angepasst; der materielle-rechtliche Gehalt entspricht aber Artikel 31 Absatz 1bis VDSG.
Art. 39 Mitteilung von Richtlinien und Entscheiden
Diese Bestimmung entspricht, abgesehen von terminologischen und systematischen Anpas- sungen, Artikel 32 Absatz 1 VDSG.
Absatz 2: Der Einbezug des EDÖB sollte möglichst frühzeitig erfolgen. Er ist spätestens im Rahmen der Ämterkonsultation zu konsultieren.
Art. 40 Bearbeitung von Personendaten
Nach geltendem Recht wird in Artikel 32 Absatz 2 VDSG festgehalten, für welche Zwecke der EDÖB ein Informations- und Dokumentationssystem betreibt. Der im Rahmen der Totalrevi- sion des DSG neu eingefügte Artikel 57h RVOG hält aber zukünftig in allgemeiner Weise fest, dass die Einheiten der Bundesverwaltung zur Verwaltung ihrer Dokumente elektronische Ge- schäftsverwaltungssysteme führen. Zukünftig ist es daher nicht notwendig auf die Verwen- dung des Geschäftsverwaltungssystems im E-VDSG hinzuweisen.
Hingegen werden die Zwecke, zu denen der EDÖB Personendaten bearbeitet, neu ausführli- cher geregelt (Abs. 1). So bearbeitet er Personendaten, einschliesslich besonders schützens- werter Personendaten, insbesondere zu folgenden Zwecken: zur Ausübung seiner Auf- sichtstätigkeiten (Bst. a), zur Untersuchung von Verstössen gegen Datenschutzvorschriften (Bst. b), zur Schulung und Beratung von Bundesorganen und privaten Personen (Bst. c), zur Zusammenarbeit mit Bundesbehörden, kantonalen und ausländischen Behörden (Bst. d), zur Durchführung von Schlichtungsverfahren und Evaluationen nach dem Bundesgesetz vom 17. Dezember 2004 34 über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) (Bst. e) sowie zur Beantwortung von Bürgeranfragen (Bst. f).
Art. 41 Selbstkontrolle
Artikel 48 nDSG sieht vor, dass der EDÖB durch geeignete Massnahmen sicherstellen muss, dass die Datenschutzvorschriften innerhalb seiner Behörde rechtskonform vollzogen werden. In der Botschaft zum E-DSG wird präzisiert, dass der Bundesrat die Aufgabe hat, die vom EDÖB zu ergreifenden Massnahmen in der Verordnung zu konkretisieren (BBl 2017 6941,7089).
34 SR 152.3
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Vom EDÖB wird gemäss Absatz 1 erwartet, dass er ein Bearbeitungsreglement für sämtliche automatisierten Bearbeitungen erstellt, und nicht nur in den in Artikel 5 Absatz 1 E-VDSG ge- nannten Fällen, wie z. B. bei der Bearbeitung von besonders schützenswerten Personenda- ten oder bei einem Profiling.
Gemäss Absatz 2 sieht der EDÖB interne Prozesse vor, die gewährleisten, dass die Bearbei- tungen entsprechend dem Bearbeitungsreglement vorgenommen werden. Er überprüft jähr- lich, ob das Bearbeitungsreglement eingehalten wird.
Art. 42 Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC)
Damit der EDÖB bei der Analyse einer eingetretenen Verletzung der Datensicherheit, die der Verantwortliche ihm gestützt auf Artikel 24 nDSG und Artikel 19 E-VDSG gemeldet hat, die technischen Fachspezialistinnen und Fachspezialisten des NCSC miteinbeziehen kann, wird in Absatz 1 vorgesehen, dass der EDÖB die Angaben zur Meldung einer Verletzung der Da- tensicherheit dem NCSC weiterleiten kann. Die Weiterleitung kann jegliche Angaben gemäss Artikel 19 Absatz 1 E-VDSG enthalten, muss sich aber gleichzeitig auf die für das NCSC für die Analyse des Vorfalls notwendigen Daten beschränken. Vorausgesetzt ist, dass der Ver- antwortliche, der zur Meldung an den EDÖB verpflichtet ist, vorgängig sein Einverständnis zur Weiterleitung gegeben hat. Ausserdem darf die Weiterleitung nicht dazu führen, dass Arti- kel 24 Absatz 6 nDSG umgangen wird, wonach die Meldung nur mit Einverständnis der mel- depflichtigen Person im Rahmen eines Strafverfahrens verwendet werden darf. Absatz 1 soll bei nächster Gelegenheit auf Gesetzesstufe transferiert werden, etwa im Rahmen eines künf- tigen Gesetzes über kritische Infrastrukturen.
Absatz 2 hält fest, dass sich der EDÖB und der NCSC in überschneidenden Tätigkeitsberei- chen koordinieren. Die Norm entspricht im Grundsatz Artikel 20 Absatz 3 zweiter Satz VDSG. Der EDÖB wird in Absatz 2 dazu verpflichtet, das NCSC zur Stellungnahme einzuladen, be- vor er gegenüber einem Bundesorgan eine Massnahme nach Artikel 51 Absatz 3 Buchstabe b nDSG betreffend die Datensicherheit anordnet. Ziel ist es insbesondere, dass der EDÖB und das NCSC in demselben Bereich nicht unterschiedliche Vorgaben an die Bundesorgane stellen. Die Unabhängigkeit des EDÖB bleibt allerdings gewährleistet, da er einzig dazu ver- pflichtet wird, die Stellungnahme einzuholen, nicht aber auch diese zu berücksichtigen.
Art. 43 Register der Bearbeitungstätigkeiten der Bundesorgane
Aufgrund von Artikel 12 Absatz 4 nDSG müssen die Bundesorgane und deren Auftragsbear- beiter ihre Verzeichnisse der Bearbeitungstätigkeiten dem EDÖB melden. Von diesem wiede- rum wird in Artikel 56 nDSG verlangt, dass er ein Register der Bearbeitungstätigkeiten der Bundesorgane führt und dieses veröffentlicht.
In Artikel 43 Absatz 1 E-VDSG wird präzisiert, was das Register des EDÖB enthalten muss, nämlich die Angaben, die die Bundesorgane und deren Auftragsbearbeiter gemäss Artikel 12 Absätze 2 und 3 nDSG machen müssen. Zusätzlich enthält das Register auch die Angaben zu den geplanten automatisierten Bearbeitungstätigkeiten der Bundesorgane gemäss Artikel
32 Absatz 2 E-VDSG.
Der zweite Absatz präzisiert, dass das Register des EDÖB im Internet zu veröffentlichen ist. Nicht veröffentlicht werden dabei die Registereinträge über die geplanten automatisierten Be- arbeitungstätigkeiten der Bundesorgane gemäss Artikel 32 E-VDSG, da diese im Zeitpunkt ihrer Anmeldung als noch nicht definitiv angesehen werden können beziehungsweise noch Änderungen unterliegen könnten.
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 44 Verhaltenskodizes
Aufgrund von Artikel 22 Absatz 5 nDSG kann der private Verantwortliche von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er nach Artikel 13 nDSG zertifiziert ist oder wenn er einen Verhaltenskodex nach Artikel 11 nDSG einhält, der bestimmte Vorausset- zungen erfüllt. Wird ein Verhaltenskodex dem EDÖB vorgelegt, gibt dieser in seiner Stellung- nahme an, ob nach seiner Einschätzung die Voraussetzungen erfüllt sind, um von der Erstel- lung einer Datenschutz-Folgenabschätzung abzusehen. Mit dieser Bestimmung wird präzi- siert, dass ein Verantwortlicher, der auf eine Datenschutz-Folgenabschätzung verzichten will, dem EDÖB seinen Verhaltenskodex vorlegen muss und dieser die Möglichkeit haben muss, den Kodex zu beurteilen. Es geht nicht um eine Genehmigung, aber wenn ein Verantwortli- cher, entgegen der Stellungnahme des EDÖB, von der Ausnahme nach Artikel 22 Absatz 5 Buchstaben a–c Gebrauch machen will, kann der EDÖB aufgrund von Artikel 51 Absatz 3 Buchstabe d nDSG anordnen, dass der Verantwortliche eine Datenschutz-Folgenabschät- zung vornimmt.
Art. 45 Gebühren
Aufgrund von Artikel 59 Absatz 1 nDSG muss der EDÖB für bestimmte Dienstleistungen, die er für private Personen erbringt, Gebühren erheben. Dazu gehören die Stellungnahme zu ei- nem Verhaltenskodex (Bst. a), die Genehmigung von Standarddatenschutzklauseln und ver- bindlichen unternehmensinternen Datenschutzvorschriften (Bst. b), die Prüfung der Daten- schutz-Folgenabschätzung (Bst. c), vorsorgliche Massnahmen und Massnahmen nach Arti- kel 51 nDSG (Bst. d) sowie Beratungen in Fragen des Datenschutzes (Bst. e).
Mit Artikel 59 Absatz 2 nDSG wird der Bundesrat beauftragt, die Höhe der Gebühren festzule- gen.
Artikel 45 Absatz 1 E-VDSG hält den Grundsatz fest, dass die Gebühren sich nach dem Zeit- aufwand bemessen. Gemäss Absatz 2 erster Satz gilt ein Stundenansatz von 150–350 Fran- ken. Dieser richtet sich nach der Komplexität des Geschäftes sowie den Arbeitsplatzkosten und dem Stundenansatz des Personals der erforderlichen Funktion, um die Dienstleistung er- bringen zu können (Abs. 2, zweiter Satz). In Absatz 3 wird im Übrigen die Allgemeine Gebüh- renverordnung vom 8. September 2004 35 (AllgGebV) für anwendbar erklärt. Die AllgGebV ih- rerseits regelt insbesondere die Grundsätze der Gebührenerhebung, die Ausnahmen von der Gebührenpflicht sowie das Inkassoverfahren.
4.7 Schlussbestimmungen
Art. 46 Aufhebung und Änderung anderer Erlasse
Da die Bestimmungen zur Aufhebung und zur Änderung anderer Erlasse zusammen mehr als eine Druckseite umfassen, werden sie in einem Anhang aufgeführt. Die Aufhebung und Än- derung anderer Erlasse wird unter Ziffer 6 kommentiert.
Art. 47 Übergangsbestimmung betreffend die Meldung geplanter automatisierter Bearbeitungstätigkeiten an den EDÖB
Gemäss Artikel 32 E-VDSG müssen Bundesorgane dem EDÖB neu ihre geplanten automati- sierten Bearbeitungstätigkeiten melden und zwar im Zeitpunkt der Projektfreigabe oder
35 SR 172.041.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
des Entscheids zur Projektentwicklung. Vorliegend wird daher übergangsrechtlich festgelegt, dass Artikel 32 E-VDSG nicht anwendbar ist auf geplante automatisierte Bearbeitungstätig- keiten, bei denen im Zeitpunkt des Inkrafttretens der Verordnung die Projektfreigabe oder der Entscheid zur Projektentwicklung bereits erfolgt ist.
5 Erläuterungen zu Anhang 1 (Staaten, Gebiete, spezifische Sektoren in einem
Staat und internationale Organe mit einem angemessenen Datenschutz) Aufgrund von Artikel 16 Absatz 1 nDSG ist der Bundesrat dafür zuständig und hat die Auf- gabe zu entscheiden, welcher Staat (oder welches Gebiet oder welcher spezifischer Sektor eines Staates) und welches internationales Organ ein angemessenes Schutzniveau für die Bekanntgabe von Personendaten ins Ausland gewährleistet. Eine Liste der Staaten wird im Anhang der Verordnung veröffentlicht. Ziel dieser Liste ist es, einen einheitlichen Raum in Sa- chen Datenschutz zu schaffen. Die Liste wird regelmässig überprüft werden, um namentlich der Entwicklung in Europa und insbesondere den Ratifikationen des revidierten Übereinkom- mens 108 Rechnung zu tragen. Die Liste ist folglich nicht endgültig und könnte vor dem In- krafttreten der Verordnung noch geändert werden.
6 Erläuterungen zu Anhang 2 (Aufhebung und Änderung anderer Erlasse)
6.1 Aufhebung der Verordnung zum Bundesgesetz über den Datenschutz vom
14. Juni 1993 Da es sich beim E-VDSG um eine Totalrevision handelt, muss die aktuelle VDSG aufgeho- ben werden.
6.2 Übersicht über die Änderungen im sektoriellen Verordnungsrecht
Da es sich beim Datenschutzrecht um eine Querschnittsmaterie handelt, müssen die Ände- rungen, die im nDSG und im E-VDSG vorgenommen werden, in den Datenschutzbestimmun- gen im sektoriellen Verordnungsrecht nachvollzogen werden.
Bei den Änderungen handelt es sich in erster Linie um begriffliche Anpassungen. Dazu gehö- ren insbesondere folgende Änderungen:
− Der Begriff «Persönlichkeitsprofil» wurde im nDSG aufgehoben und durch den Begriff «Pro- filing» ersetzt. 36 Wird im sektoriellen Gesetz der Begriff «Persönlichkeitsprofil» ersatzlos ge- strichen, so wird auch in den dazugehörigen Verordnungen eine Streichung vorgenommen. Wenn der Begriff durch eine neue Formulierung ersetzt wird, so wird diese auch in die da- zugehörigen Verordnungen übernommen. − Auf den Begriff «Datensammlung» wird im nDSG ebenfalls verzichtet. 37 Der Begriff wird im sektoriellen Verordnungsrecht insbesondere durch «Datenbank», «Datenbearbeitung», «Datenbestände» oder «Datenerhebung» ersetzt. Steht der Begriff nicht im Zusammen- hang mit Datenschutzbestimmungen, so kann auf eine Änderung verzichtet werden. Der Begriff «Inhaber einer Datensammlung» wird entsprechend Artikel 5 Buchstabe j nDSG durch «Verantwortlicher» ersetzt. − Bei der Bezeichnung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten wird auf Gesetzesebene neu zwischen der oder dem Beauftragten und der Institution unter- schieden. Die Abkürzung «EDÖB» meint die Institution, «die oder der Beauftragte» be- zeichnet die Leiterin oder den Leiter des EDÖB. Der Begriffsunterscheidung wird im sektori- ellen Verordnungsrecht nachvollzogen.
Vgl. die Ausführungen in der Botschaft DSG vom 15. September 2017 (BBl 2017 6941, 7021, 7109). Vgl. die Ausführungen in der Botschaft DSG vom 15. September 2017 (BBl 2017 6941, 7023 f.).
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
− Der Begriff «Daten über administrative und strafrechtliche Verfolgungen und Sanktionen» wird entsprechend Artikel 5 Buchstabe c Ziffer 5 nDSG durch «Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen» ersetzt.
Weiter müssen im sektoriellen Verordnungsrecht die Verweise an das nDSG bzw. den E- VDSG angepasst werden. Eine Anpassung muss auch dann erfolgen, wenn das DSG im In- gress einer Verordnung erwähnt wird.
Mit dem nDSG werden die Daten juristischer Personen vom sachlichen Geltungsbereich des Gesetzes ausgenommen. 38 Der Begriff «Personendaten» bezieht sich daher neu einzig auf Daten natürlicher Personen. Diese Neuerung führt dazu, dass die Rechtsgrundlagen, mit de- nen Bundesorgane zur Bearbeitung und Bekanntgabe von Personendaten ermächtigt wer- den, inskünftig nicht mehr anwendbar sind, soweit es um Daten juristischer Personen geht. Aufgrund des Legalitätsprinzips bedarf jedoch auch die staatliche Bearbeitung bzw. Bekannt- gabe von Daten juristischer Personen einer gesetzlichen Grundlage. Inskünftig wird der Um- gang mit Daten juristischer Personen deshalb zum Teil im RVOG geregelt. Andernteils müs- sen alle spezialgesetzlichen Datenschutzbestimmungen daraufhin geprüft werden, ob sie für Daten juristischer Person beibehalten werden sollen oder angepasst werden müssen. In Arti- kel 71 nDSG ist deshalb eine Übergangsbestimmung vorgesehen, wonach für Bundesorgane Vorschriften in anderen Bundeserlassen, die sich auf Personendaten beziehen, während fünf Jahren nach Inkrafttreten des nDSG weiter Anwendung auf Daten juristischer Personen fin- den. In diesen fünf Jahren soll eine vom BJ koordinierte Überprüfung und Anpassung der spezialgesetzlichen Rechtsgrundlagen für Daten juristischer Personen stattfinden. Allerdings wurden im Rahmen der Totalrevision des DSG in einzelnen Gesetzen aus Gründen der Prak- tikabilität und der Rechtssicherheit die Rechtsgrundlagen betreffend die Daten juristischer Personen bereits angepasst. Für diese Fälle müssen auch auf Verordnungsstufe die notwen- digen Anpassungen vorgenommen werden. Der Bundesrat hat sich dazu entschieden, hier einen zurückhaltenden Ansatz zu verfolgen. Aus diesem Grund werden nicht jegliche Verord- nungen angepasst, die gestützt auf ein sektorielles Gesetz erlassen worden sind, dessen Rechtsgrundlagen betreffend die Daten juristischer Personen angepasst wurden. Ziel ist es insbesondere zu vermeiden, dass Rechtskonflikte entstehen, weil Verordnungen angepasst werden, die sich auch auf andere sektorielle Gesetze stützen, in welchen die Rechtsgrundla- gen betreffend Daten juristischer Personen im Anhang 1/II nDSG (noch) nicht angepasst wur- den. Es wird zwischen den Verordnungen zum RVOG und den anderen Sachgesetzen unter- schieden. Im RVOG wurden die Bestimmungen zur Bearbeitung von Daten in Geschäftsver- waltungssystemen (Art. 57h–hter RVOG) sowie bei der Nutzung der elektronischen Infrastruk- tur (Art. 57i–57l RVOG) angepasst. Auf Verordnungsstufe soll eine analoge Anpassung erfol- gen: Die Anpassung soll sich daher auf Verordnungen beschränken, die sich auf dieselben Regelungsaspekte beziehen. Ausserdem wird – aus den oben erwähnten Gründen – darauf verzichtet, Verordnungen anzupassen, die sich auch auf andere sektorielle Gesetze abstüt- zen, in denen keine Anpassung im Rahmen der Totalrevision des DSG erfolgt ist. Bei den an- deren Sachgesetzen (z. B. BGÖ, Nationalbankengesetz) wird ein gesamtheitlicher Ansatz verfolgt. Um für den gesamten Sachbereich eine kohärente Lösung zu generieren, wurden einerseits jegliche Verordnungen angepasst, die sich einzig auf das angepasste Gesetz ab- stützen. Weiter wurden auch die Bestimmungen einer Verordnung angepasst, wenn sich eine Anpassung in inhaltlicher Hinsicht aufdrängt (z. B. weil es sich um eine Präzisierung oder Umsetzung einer angepassten Gesetzesbestimmung handelt). Für die Verordnungen, die nicht angepasst werden, gilt aber jedenfalls die Übergangsbestimmung von Artikel 71
Vgl. die Ausführungen in der Botschaft DSG vom 15. September 2017 (BBl 2017 6941, 6972, 7011 f.)
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
nDSG, wonach sich der Begriff «Personendaten» weiterhin auf Daten natürlicher und juristi- scher Personen bezieht. Im Anhang E-VDSG werden folgende Verordnungen bereits ange- passt:
− Öffentlichkeitsverordnung vom 24. Mai 2006 39 (vgl. Ziff. 6.15) − Verordnung vom 22. Februar 2012 40 über die Bearbeitung von Personendaten, die bei der Nutzung der elektronischen Infrastruktur des Bundes anfallen (vgl. Ziff. 6.17) − Verordnung von 30. Juni 1993 41 über die Organisation der Bundesstatistik (vgl. Ziff. 6.52) − Statistikerhebungsverordnung vom 30. Juni 1993 42 (vgl. Ziff. 6.53) − Verordnung vom 25. Juni 2003 43 über die Gebühren und Entschädigungen für statistische Dienstleistungen von Verwaltungseinheiten des Bundes (vgl. Ziff. 6.55) − Verordnung vom 9. Juni 2017 44 über das eidgenössische Gebäude- und Wohnungsregister (vgl. Ziff. 6.56) − Energieverordnung vom 1. November 2017 45 (vgl. Ziff. 6.74) − Stromversorgungsverordnung vom 14. März 2008 46 (vgl. Ziff. 6.77) − Verordnung gegen die Schwarzarbeit vom 6. September 2006 47 (vgl. Ziff. 6.111)
Schliesslich werden die Bestimmungen in den sektoriellen Verordnungen auch an die Neue- rungen im E-VDSG angeglichen, damit mit Inkrafttreten der neuen Verordnung kein Wider- spruch entsteht. Beispielhaft sei hier auf die Änderung in Artikel 3 Absatz 4 E-VDSG verwie- sen, wonach die Protokolle neu während zweier Jahre statt nur eines Jahres aufbewahrt wer- den. Ausserdem wurden die Datenschutzbestimmungen im sektoriellen Recht auch an die neuen Modalitäten des Auskunftsrechts gemäss Artikel 20 Absatz 1 E-VDSG angeglichen, wonach das Auskunftsgesuch neu in schriftlicher oder mündlicher Form erfolgen kann.
6.3 Verordnung vom 4. März 201148 über die Personensicherheitsprüfungen
Art. 12 Abs. 1 Bst. e, Abs. 2 Bst. a Ziff. 2 und Anhang 1, Ziff. 2.1, zweite. Zeile
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte wird gemäss Artikel 43 Ab- satz 1 nDSG neu nicht mehr durch den Bundesrat, sondern durch das Parlament gewählt. Es obliegt der Wahlbehörde zu bestimmen, ob der/die Beauftragte weiterhin einer Personensi- cherheitsprüfung unterliegen soll. Die Nennung der/s Beauftragten in Artikel 12 Absatz 1 Buchstabe e und Absatz 2 Buchstabe a Ziffer 2 und Anhang 1, Ziffer 2.1 wurde daher aufge- hoben. Sämtliche Funktionen innerhalb des EDÖB, ausgenommen die Leiterin oder der Leiter des EDÖB, unterstehen aber einer Personensicherheitsprüfung. Anhang 1, Ziff. 2.1 wurde entsprechend angepasst.
39 SR 152.31 40 SR 172.010.442 41 SR 431.011 42 SR 431.012.1 43 SR 431.09 44 SR 431.841 45 SR 730.01 46 SR 734.71 47 SR 822.411 48 SR 120.4
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 21 Abs. 2
Der Verweis wird an die neue Nummerierung des nDSG angepasst.
6.4 Verordnung vom 4. Dezember 2009 49 über verwaltungspolizeiliche
Massnahmen des Bundesamtes für Polizei und über das Informationssystem HOOGAN Art. 9 Abs. 1 Bst. a Ziff. 3 und Abs. 4 Bst. b
Der Ausdruck "die oder der Datenschutz- und Informationsschutzbeauftragte von fedpol" wird durch "die Datenschutzberaterin oder der Datenschutzberater von fedpol" ersetzt.
Art. 13 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst. Der Verweis auf Artikel 20 VDSG wird durch die Artikel 1–3 und 5 E-VDSG ersetzt, da die Regelung der Datensicherheit im 1. Abschnitt als Einheit zu betrachten ist. Der Verweis bezieht sich daher neu auch auf die Regelung des Bearbeitungsreglements, das ebenfalls im Abschnitt zur Datensicherheit geregelt wird.
6.5 Verordnung vom 16. August 201750 über die Informations- und
Speichersysteme des Nachrichtendienstes des Bundes Art. 13 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst. Der Verweis auf Artikel 20 VDSG wird durch die Artikel 1–3 und 5 E-VDSG ersetzt, da die Regelung der Datensicherheit im 1. Abschnitt als Einheit zu betrachten ist. Der Verweis bezieht sich daher neu auch auf die Regelung des Bearbeitungsreglements, das ebenfalls im Abschnitt zur Datensicherheit geregelt wird.
Art. 17 Abs. 3, 23 Abs. 3, 30 Abs. 3, 67 Abs. 2
Entsprechend der Änderung in Artikel 44 Absatz 1 Nachrichtendienstgesetz (Ziffer 2 Anhang 1/II nDSG) wird der Begriff «Persönlichkeitsprofil» durch «Personendaten, einschliesslich Personendaten, welche die Beurteilung des Gefährlichkeitsgrades einer Person erlauben, zu bearbeiten, unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht» ersetzt.
Art. 38 Abs. 1, 44 Abs. 1, 59 Abs. 1
Diese Änderung betrifft nur den französischen und italienischen Text. Der Begriff «fichier» wird durch «données des dossiers» ersetzt.
6.6 Verordnung vom 24. Oktober 200751 über Zulassung, Aufenthalt und
Erwerbstätigkeit Art. 89a
49 SR 120.52 50 SR 121.2 51 SR 142.201
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Diese Bestimmung wird in zwei Punkten geändert. Einerseits bezieht sich der Verweis auf das Ausländergesetz neu auf Artikel 111d Absatz 3 und nicht mehr auf Artikel 111d als gan- zen. Andererseits wird Artikel 89a an die Terminologie von Artikel 16 nDSG und die ange- messenen Garantien nach den Artikeln 9–12 E-VDSG angepasst.
6.7 Verordnung vom 15. August 201852 über die Einreise und die Visumerteilung
Art. 48 Abs. 4 zweiter Satz
Der Begriff «Inhaber» wird durch «Verantwortlicher» ersetzt.
Art. 51 Abs. 2, 52 Abs. 2 und 53 Abs. 2
Gemäss diesen Bestimmungen wird das DSG subsidiär angewendet, wenn die kantonalen Datenschutzvorschriften keinen angemessenen Schutz gewährleisten. Diese werden in Arti- kel 37 DSG aufgehoben. Denn die Vernehmlassung zum nDSG hat gezeigt, dass Artikel 37 DSG gemäss der Mehrheit der Teilnehmer, die sich dazu geäussert haben, überflüssig ge- worden ist, da heute alle Kantone über Datenschutzvorschriften verfügen, die einen ange- messenen Schutz gewährleisten (vgl. Ziff. 9.1.11 der Botschaft des Bundesrates vom 15. September 2017).
6.8 Asylverordnung 3 vom 11. August 1999 53 über die Bearbeitung von
Personendaten Art. 1b Abs. 2 erster Satz
Der Begriff «Persönlichkeitsprofil» wird gestrichen.
Art. 6a
Artikel 6a wird an die Terminologie von Artikel 16 nDSG und die angemessenen Garantien nach den Artikeln 9-12 E-VDSG angepasst.
Art. 12 Bst. a
Der Verweis wird an den E-VDSG angepasst.
6.9 Visa-Informationssystem-Verordnung vom 18. Dezember 2013 54
Art. 31 Abs. 1
Die Formulierung der Norm wird angepasst, um sie an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
Art. 32 Abs. 1 Einleitungssatz, Bst. a und c
Die Formulierung des Einleitungssatzes wurde formell leicht angepasst. In Buchstabe a wird der Begriff «Inhaber der Datensammlung» durch den Begriff «Verantwortlicher» ersetzt. Wie
52 SR 142.204 53 SR 142.314 54 SR 142.512
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Buchstabe c wird auch Buchstabe a angepasst, damit er Artikel 19 Absatz 2 nDSG entspricht.
Art. 34 Bst. a
Der Verweis wird an den E-VDSG angepasst.
6.10 ZEMIS-Verordnung vom 12. April 200655
Art. 17 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst.
Art. 19 Abs. 1 und 2
In Absatz 1 wird der Verweis an das nDSG angepasst. In der deutschen Fassung wird der Begriff «besonders schützenswerte Personendaten» durch «Personendaten» ersetzt, um den
Absatz 2 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen.
Art. 25
Der Verweis müsste an die Bestimmungen des nDSG angepasst werden. Da die Übergangs- bestimmung nicht mehr aktuell ist, wird sie aufgehoben.
6.11 Ausweisverordnung vom 20. September 2002 56
Art. 40 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren. Um die Vorgaben im sektoriellen Recht zu vereinheitlichen, wird die Vorgabe, dass die Proto- kolle revisionsgerecht aufzubewahren sind, gelöscht.
Art. 42 Abs. 1 und 3
Absatz 1 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen. In Absatz 3 wird der Verweis an das nDSG angepasst.
Art. 43
Der Verweis wird an das nDSG angepasst.
55 SR 142.513 56 SR 143.11
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.12 Verordnung vom 14. November 2012 57 über die Ausstellung von
Reisedokumenten für ausländische Personen Art. 30 Abs. 1, 3 und 5
Absatz 1 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen. In den Absätzen 3 und 5 werden die Verweise an das nDSG angepasst.
6.13 Verordnung vom 2. November 2016 58 zum Bundesgesetz zum Internationalen
Übereinkommen zum Schutz aller Personen vor dem Verschwindenlassen Art. 10 Abs. 2
Der Verweis wird an die neue Nummerierung des nDSG angepasst.
6.14 Archivierungsverordnung vom 8. September 1999 59
Art. 12 Abs. 3 erster Satz und Art. 14 Abs. 1 erster Satz
Der Begriff «Persönlichkeitsprofile» wird gestrichen.
Art. 26 Abs. 2
Absatz 2 wird aufgehoben, da es sich um einen veralteten Verweis handelt.
6.15 Öffentlichkeitsverordnung vom 24. Mai 2006 60
Art. 12 Abs. 1, 2 erster und zweiter Satz sowie Abs. 3, 12a Abs. 1 Einleitungssatz und 2, 12b Abs. 1 Einleitungssatz, Bst. b und c sowie 4, 13 Abs. 1, 3 und 4, 13a Sachüberschrift, 21 Ein- leitungssatz
Der oder die eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (der oder die Be- auftragte) wird durch der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, «EDÖB» oder er/dieser bzw. ihm ersetzt. Die Änderungen in Artikel 12 Absatz 2 erster und zweiter Satz sowie Absatz 3, Artikel 12b Absatz 1 Buchstaben b und c, Artikel 13 Absatz 3 betreffen nur die deutsche Fassung.
Art. 13 Abs. 3 und 4
Entsprechend den Änderungen im Öffentlichkeitsgesetz (Ziffer 10 Anhang 1/II nDSG) wird der Begriff «Personendaten» in Artikel 13 Absätze 3 und 4 mit dem Schutz von Daten juristi- scher Personen ergänzt. Die Änderungen in Absatz 4 betreffen nur die deutsche Fassung.
57 SR 143.5 58 SR 150.21 59 SR 152.11 60 SR 152.31
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.16 GEVER-Verordnung vom 3. April 201961
Ingress
Aufgrund der Änderungen im RVOG (Ziff. 13 Anhang 1/II nDSG) stützt sich die GEVER-Ver- ordnung neu auf Artikel 57hter RVOG. Der Ingress wird entsprechend angepasst.
6.17 Verordnung vom 22. Februar 201262 über die Bearbeitung von Personendaten,
die bei der Nutzung der elektronischen Infrastruktur des Bundes anfallen Titel
Entsprechend den Änderungen im Regierungs- und Verwaltungsorganisationsgesetz (Ziff. 13 Anhang 1/II nDSG) wird der Titel der Verordnung um den Schutz von Daten juristischer Per- sonen erweitert.
Art. 1 Bst. a und b
Bei den Begriffen «bewirtschaftete Daten» und «nicht bewirtschaftete Daten» wird der Aus- druck «Personendaten» durch «Personendaten und Daten juristischer Personen» ersetzt.
Art. 10 Abs. 3
Artikel 10 Absatz 3 wird angepasst, da neu grundsätzlich jedes Bundesorgan über eine Da- tenschutzberaterin oder einen Datenschutzberater verfügen muss.
Art. 14
Der Begriff «Personendaten» wird durch «ihre Daten» ersetzt.
6.18 Verordnung vom 25. November 2020 63 über die digitale Transformation und die Informatik Art. 26 Abs. 2
Der Begriff «Persönlichkeitsprofil» wird gestrichen.
6.19 Verordnung vom 19. Oktober 201664 über Identitätsverwaltungs-Systeme und
Verzeichnisdienste des Bundes Art. 11 Abs. 2
Diese Bestimmung wird gestrichen, da der Begriff «Persönlichkeitsprofil» im nDSG nicht mehr vorkommt.
Art. 11a
Artikel 11a ersetzt den bisherigen Artikel 11 Absatz 2, der aufgrund der Streichung des Be- griffs «Persönlichkeitsprofile» aufgehoben wird. Der Begriff «Persönlichkeitsprofile» wird
61 SR 172.010.441 62 SR 172.010.442 63 SR 172.010.58 64 SR 172.010.59
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
im nDSG durch den Begriff «Profiling» ersetzt. Das Verbot von Profiling wird in Artikel 11a eingeführt, um sicherzustellen, dass sich die Datenbearbeitungen in den IAM-Systemen, den Verzeichnisdiensten und dem zentralen Identitätsspeicher auf ihre Funktion beschränken, an- deren Systemen sowie den Nutzerinnen und Nutzern Daten auf Anfrage zur Verfügung zu stellen.
Art. 13 Abs. 4, 18 Abs. 1 zweiter Satz
Die Pflicht des Verantwortlichen, Datensammlungen dem EDÖB zu melden, wird mit dem nDSG aufgehoben (Art. 11a DSG). Das nDSG sieht in Artikel 12 Absatz 4 nDSG neu vor, dass das verantwortliche Bundesorgan das Verzeichnis der Bearbeitungstätigkeiten dem EDÖB melden muss. Artikel 13 Absatz 4 Buchstabe b wird daher so angepasst, dass die Mel- dung neu an Artikel 12 Absatz 4 nDSG geknüpft wird.
Ausserdem werden in Artikel 13 Absatz 4 und Artikel 18 Absatz 1 zweiter Satz die Verweise an den E-VDSG angepasst.
Art. 17 Abs. 2, 26 Abs. 2
Um die Terminologie zu vereinheitlichen, wird in der deutschen und italienischen Version eine Änderung vorgenommen. Die Begriffe «Datenschutzverantwortliche», «Datenschutzverant- wortlicher» und «responsabile della protezione dei dati» werden durch «Datenschutzberate- rin», «Datenschutzberater» und «consulente per la protezione dei dati» ersetzt (vgl. hierzu die Ausführungen in der Botschaft DSG vom 15. September 2017, BBl 2017 6941, 7032 f.).
Art. 25 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.20 Verordnung vom 20. Juni 201865 über das Datenbearbeitungssystem des
Sprachdienstes EDA Art. 13 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.21 Gebührenverordnung fedpol vom 4. Mai 201666
Art. 1 Abs. 1 Bst. d
Der Verweis wird an den E-VDSG angepasst.
65 SR 172.010.60 66 SR 172.043.60
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.22 Verordnung vom 12. Februar 202067 über das öffentliche Beschaffungswesen
Art. 24 Abs. 2
Der Verweis wird an das nDSG angepasst.
6.23 Organisationsverordnung für die Bundeskanzlei vom 29. Oktober 2008 68
Art. 5a Abs. 3 Bst. c, 10 Abs. 1
Die Abkürzung EDÖB wird in Artikel 5a Absatz 3 Buchstabe c eingeführt und in Artikel 10 Ab- satz 1 übernommen.
6.24 Verordnung vom 18. November 2015 69 über das Informationssystem VIP-
Service Art. 11 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst.
6.25 Verordnung vom 25. November 1998 70 über den Sonderstab Geiselnahme und
Erpressung Art. 14 Sachüberschrift, Abs. 1 und 2 erster Satz
In der Sachüberschrift und in Absatz 1 wird der Begriff «Datensammlung» durch «Daten- bank» ersetzt. Aufgrund der Aufhebung des Begriffs «Dateninhaber» muss Absatz 2 ange- passt werden.
6.26 Verordnung vom 22. November 2017 71 über den Schutz von Personendaten
des Bundespersonals Art. 2
Der Begriff «Datensammlung» wird durch «Datenbank» ersetzt.
Art. 9 Abs 1
Der Begriff «Persönlichkeitsprofil» wird gestrichen.
Art. 34 Abs. 1 Bst. b
Die Pflicht des Verantwortlichen, Datensammlungen dem EDÖB zu melden, wird mit dem nDSG aufgehoben (Art. 11a DSG). Das nDSG sieht in Artikel 12 Absatz 4 nDSG neu vor, dass das verantwortliche Bundesorgan das Verzeichnis der Bearbeitungstätigkeiten dem EDÖB melden muss. Artikel 34 Absatz 1 Buchstabe b wird daher so angepasst, dass die Mel- dung neu an Artikel 12 Absatz 4 nDSG geknüpft wird.
67 SR 172.056.11 68 SR 172.210.10 69 SR 172.211.21 70 SR 172.213.80 71 SR 172.220.111.4
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 16 Abs. 2, 28 Abs. 2, 37 Abs. 2, 44 Abs. 2, 51 Abs. 2, 57 Abs. 2, 65 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.27 Verordnung vom 5. November 2014 72 über die Bearbeitung von Personendaten
im Intranet und im Extranet des EDA Art. 12 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst.
Art. 13 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.28 Zivilstandsverordnung vom 28. April 2004 73
Art. 83 Abs. 2, 3 und 4
Mit den Anpassungen in Artikel 83 Absätze 2–4 ZStV wird der Gesetzesauftrag in Artikel 45a Absatz 5 Ziffer 5 Zivilgesetzbuch erfüllt. Dort wird der Bundesrat beauftragt, unter Mitwirkung der Kantone die Aufsicht über die Einhaltung der Datenschutzvorschriften für das Personen- standsregister zu regeln. Aufgrund des neuen Artikels 2 Absatz 4 nDSG wird der Grundsatz, wonach die öffentlichen Register des Privatrechtsverkehrs vom Geltungsbereich des DSG ausgenommen sind, aufgehoben. Dies hat zur Folge, dass das Personenstandsregister in Bezug auf die Einhaltung der Datenschutzvorschriften neu der Aufsicht durch den Eidgenös- sischen Datenschutz- und Öffentlichkeitsbeauftragten untersteht (Art. 4 Abs. 2 nDSG e contrario). Für die Koordination dieser Aufsicht wird in Absatz 2 neu vorgesehen, dass das EAZW den EDÖB zur Stellungnahme einlädt, bevor es eine Massnahme trifft, die Fragen des Datenschutzes und der Datensicherheit betrifft. Wird der EDÖB seinerseits im Rahmen seiner Aufsicht tätig, so ist er aufgrund von Absatz 4 verpflichtet, sich mit dem EAZW und nötigen- falls auch mit den kantonalen Datenschutzbehörden zu koordinieren. Absatz 3 entspricht Arti- kel 83 Absatz 2 ZStV.
6.29 Verordnung vom 18. November 1992 74 über die amtliche Vermessung
Art. 40 Abs. 5
Die Befugnis, eine Datensammlung zu führen, wird durch die Bearbeitung von Daten ersetzt.
6.30 Ordipro-Verordnung vom 22. März 201975
Art. 15 Abs. 2
72 SR 172.220.111.42 73 SR 211.112.2 74 SR 211.432.2 75 SR 235.21
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.31 Verordnung E-VERA vom 17. August 2016 76
Art. 9 Sachüberschrift und Abs. 1 Einleitungssatz
In der französischen Fassung wird der Begriff «fichier» gestrichen. In der deutschen und der italienischen Fassung werden die Begriffe «Datensatz» bzw. «set di dati» durch «Daten» bzw. «dati» ersetzt. In allen drei Fassungen sind ausserdem grammatikalische Anpassungen erforderlich.
Art. 14 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst.
Art. 15 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.32 Verordnung EDA-CV vom 26. April 2017 77
Art. 6 Sachüberschrift
Die Änderung betrifft nur den deutschen Text. Der Begriff «Datensatz» wird durch «Daten» ersetzt, damit die Terminologie innerhalb der Verordnungen über die Informationssysteme des EDA einheitlich bleibt (vgl. Art. 9 Abs. 1 Verordnung E-VERA).
Art. 11 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.33 Verordnung vom 9. Dezember 2011 78 über das Informationssystem EDAssist+
Art. 14 Abs. 1 und 3
Absatz 1 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen. In Absatz 3 wird der Verweis an das nDSG angepasst.
Art. 16 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst.
76 SR 235.22 77 SR 235.23 78 SR 235.24
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 17 zweiter Satz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
Anhang 6 Ziff. 18
Die terminologische Anpassung betrifft nur den deutschen Text. Der Begriff «Daten über ad- ministrative und strafrechtliche Verfolgungen und Sanktionen» wird entsprechend Artikel 5 Buchstabe c Ziffer 5 nDSG durch «Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen» ersetzt.
6.34 Verordnung vom 17. Oktober 201879 über das Datenbearbeitungssystem «e-
vent» des Konferenzdienstes EDA Art. 13 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.35 Verordnung vom 25. September 202080 über das Informationssystem Plato
Art. 14 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.36 Verordnung vom 26. Juni 201381 über die Eidgenössische Fachkommission zur
Beurteilung der Behandelbarkeit lebenslänglich verwahrter Straftäter Art. 13 Abs. 1
Der Verweis wird an das nDSG angepasst.
6.37 Verordnung vom 7. November 2012 82 über den ausserprozessualen
Zeugenschutz Art. 13 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
79 SR 235.25 80 SR 235.26 81 SR 311.039.2 82 SR 312.21
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 15 Abs. 1 Bst. b
Der Verweis wird an den E-VDSG angepasst.
6.38 Verordnung vom 20. September 2013 83 über das Informationssystem für
Strafsachen der Eidgenössischen Zollverwaltung Art. 3
Der Verweis wird an die neue Nummerierung des E-VDSG angepasst.
Art. 14 Abs. 1 und 2
In Absatz 1 wird der Verweis an die neue Nummerierung des nDSG angepasst.
Mit der Revision des Bundesgesetzes vom 22. März 1974 84 über das Verwaltungsstrafrecht (Ziff. 27 Anhang 1/II nDSG) wird ein neuer Artikel 18d eingefügt, der das Auskunftsrecht der Parteien und anderen Verfahrensbeteiligten bei hängigen Verfahren regelt. Folglich ist Arti- kel 18d in Absatz 2 aufzunehmen.
Art. 18 Abs. 1
Der Verweis auf die Artikel 20 und 21 VDSG wird durch die Artikel 1–3 und 5 E-VDSG er- setzt.
6.39 VOSTRA-Verordnung vom 29. September 200685
Art. 18 Abs. 5
Der Begriff «Datensammlung» wird durch «Datenbank» ersetzt.
Art. 26 Abs. 1 zweiter Satz, 2 und 4
Die Verweise werden an die neue Nummerierung des nDSG angepasst. Absatz 2 wird in sei- ner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzu- gleichen.
Art. 27 Abs. 1 Bst. b
Der Verweis wird an die neue Nummerierung des E-VDSG angepasst.
Art. 32
Der Verweis wird an die neue Nummerierung des nDSG angepasst. Ausserdem wird die Norm in terminologischer Hinsicht an Artikel 39 nDSG angeglichen.
83 SR 313.041 84 SR 313.0 85 SR 331
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.40 ELPAG-Verordnung vom 23. September 201686
Art. 14 Abs. 1 Einleitungssatz und Bst. a
Der Verweis wird an die neue Datenschutzgesetzgebung angepasst. Die Änderung im Einlei- tungssatz betrifft nur die französische Fassung. Der Ausdruck « sécurité informatique » wird durch « sécurité des données » ersetzt, um die französische Fassung an den deutschen und italienischen Text anzugleichen.
Art. 15 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren. Um die Vorgaben im sektoriellen Recht zu vereinheitlichen, wird der Passus «ab Erstellung» gelöscht.
Art. 17
Der Verweis wird an das nDSG angepasst.
6.41 Verordnung vom 30. November 2001 87 über die Wahrnehmung
kriminalpolizeilicher Aufgaben im Bundesamt für Polizei Art. 6 Abs. 1 Bst. c und d, 2 Bst. b und c
Die Formulierung wurde angepasst, da Artikel 13 Absatz 2 ZentG keine Voraussetzungen mehr enthält, sondern auf die Vorgaben im StGB verweist.
6.42 JANUS-Verordnung vom 15. Oktober 200888
Art. 19 Abs. 1 Bst. a und b, 2 Bst. a und b
Die Formulierung wurde angepasst, da Artikel 13 Absatz 2 ZentG keine Voraussetzungen mehr enthält, sondern auf die Vorgaben im StGB verweist.
Art. 24 Abs. 1, 26
Die Verweise werden an das nDSG und die neue Nummerierung des E-VDSG angepasst.
Art. 26 Bst. a, 29l zweiter Satz, 29n Abs. 1 Bst. a, 29v zweiter Satz, 29w Abs. 1 Bst. a
Die Verweise werden an die neue Datenschutzgesetzgebung angepasst.
Art. 27 Abs. 1 zweiter Satz, 29i Abs. 2, 29t Abs. 2
86 SR 351.12 87 SR 360.1 88 SR 360.2
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
Anhang 2 Ziff. 4.1 erste Zeile zweite Spalte
Der Begriff «Datensammlung» wird durch «Datenbank» ersetzt.
6.43 RIPOL-Verordnung vom 26. Oktober 201689
Art. 2 Abs. 1 Einleitungssatz und Bst. f, 13 Abs. 1 und 14 Abs. 2 Bst. a
Im Einleitungssatz von Artikel 2 Absatz 1 wird der Begriff «Inhaber der Datenbank» durch «Bundesorgan» ersetzt. Die übrigen Änderungen sind Anpassungen der Verweise an die neue Datenschutzgesetzgebung.
Art. 13 Abs. 1bis und 2
Mit der Revision des Bundesgesetzes vom 13. Juni 2008 90 über die polizeilichen Informati- onssysteme des Bundes (Ziff. 30 Anhang 1/II nDSG) wird ein neuer Artikel 8a BPI eingefügt, durch den das Auskunftsrecht bei Ausschreibungen zur Festnahme zum Zweck der Ausliefe- rung in einem der Systeme nach Artikel 2 BPI, namentlich das automatisierte Polizeifahn- dungssystem (RIPOL), eingeschränkt wird. Folglich ist Artikel 8a BPI in Artikel 13 der RIPOL- Verordnung in einem neuen Absatz 1bis aufzunehmen.
Absatz 2 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen.
Art. 15 Abs. 1 zweiter Satz und 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.44 IPAS-Verordnung vom 15. Oktober 2008 91
Art. 9a, 13 zweiter Satz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
Die Anpassung in Artikel 9a zweiter Satz betrifft nur die deutsche und italienische Fassung. Der Begriff «Datenschutzbeauftragten» wird durch «Datenschutzberaterin» bzw. «Daten- schutzberater» ersetzt.
89 SR 361.0 90 SR 361 91 SR 361.2
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 10 und 12 Bst. a
Die Verweise werden an die neue Datenschutzgesetzgebung des Bundes angepasst.
6.45 Verordnung vom 6. Dezember 2013 92 über die Bearbeitung biometrischer
erkennungsdienstlicher Daten Art. 3 Abs. 1 Bst. b und d
Die Änderungen betreffen nur den französischen und italienischen Text. Der Begriff «fichier» wird durch «registre» ersetzt.
Art. 5 Abs. 1, 6 und 14 Bst. a
Die Verweise werden an die neue Datenschutzgesetzgebung angepasst.
Art. 5 Abs. 2
Der Absatz wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
6.46 Polizeiindex-Verordnung vom 15. Oktober 2008 93
Art. 7 Abs. 1, 12 Abs. 1 Bst. a
Die Verweise werden an die neue Datenschutzgesetzgebung angepasst.
Art. 8 Abs. 1 Bst. c und d
Die Verweise auf die RIPOL-Verordnung vom 15. Oktober 2008 94 und die N-SIS-Verordnung vom 8. März 2013 95 werden aktualisiert.
Art. 11 Abs. 1, 2 Einleitungssatz und 3
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
Die Anpassung in Absatz 1 und 2 betrifft nur die deutsche Fassung. Der Begriff «Daten- schutzbeauftragten» wird durch «Datenschutzberaterin» bzw. «Datenschutzberater» ersetzt.
6.47 N-SIS-Verordnung vom 8. März 201396
Art. 50 Abs. 1
92 SR 361.3 93 SR 361.4 94 SR 361.0 95 SR 362.0 96 SR 362.0
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Der Absatz wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
Art. 50 Abs. 6
Mit der Revision des Bundesgesetzes vom 13. Juni 2008 97 über die polizeilichen Informati- onssysteme des Bundes (Ziff. 30 Anhang 1/II nDSG) wird ein neuer Artikel 8a BPI eingefügt, mit dem das Auskunftsrecht bei Ausschreibungen zur Festnahme zum Zweck der Ausliefe- rung in einem der Systeme nach Artikel 2 dieses Gesetzes, namentlich im Schengener Infor- mationssystem, eingeschränkt wird. Folglich ist Artikel 8a im neuen Absatz 6 von Artikel 50 aufzunehmen.
Art. 51 Abs. 1 und 2 Bst. c, 53 Abs. 1 Bst. a
Die Verweise werden an die neue Datenschutzgesetzgebung angepasst.
6.48 DNA-Profil-Verordnung vom 3. Dezember 2004 98
Art. 8 Abs. 1
Der Begriff «Inhaber» wird durch den Ausdruck «verantwortliches Bundesorgan» ersetzt. Der zweite Teil des Satzes von Absatz 1 kann gestrichen werden.
Art. 17 Abs. 1 und 3 erster Satz, Art. 19 Abs. 1 Bst. a
Der Verweis wird an die Nummerierung des nDSG bzw. des E-VDSG angepasst.
Artikel 17 Absatz 3 wird in der Formulierung angepasst, da Artikel 62 DSG selbst keine Ver- schwiegenheitspflicht normiert, sondern nur die Folgen bei Verletzung dieser Pflicht regelt.
In Artikel 19 Absatz 1 Buchstabe a wird der Verweis auf die Artikel 20–23 VDSG durch die Ar- tikel 1–3 und 5 E-VDSG ersetzt, da sich die Regelung von Artikel 19 gemäss deren Sach- überschrift einzig auf den Regelungsbereich der Datensicherheit bezieht. Die Bestimmungen zur Auftragsbearbeitung und zum Datenschutzberater im E-VDSG finden aber im Rahmen ihres Geltungsbereiches ebenfalls Anwendung.
6.49 Interpol-Verordnung vom 21. Juni 201399
Art. 4 Abs. 1 Bst. f, 11 Abs. 4 dritter Satz, 12 Abs. 2 zweiter Satz, 16 Abs. 1, 17 Abs. 1
Der Ausdruck «der oder die Datenschutz- und Informationsschutzverantwortliche von fedpol» wird durch «die Datenschutzberaterin oder der Datenschutzberater von fedpol» ersetzt (vgl. hierzu die Ausführungen in der Botschaft DSG vom 15. September 2017, BBl 2017 6941,
7032 f.).
Art. 16 Abs. 1
97 SR 361 98 SR 363.1 99 SR 366.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Der Absatz wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
6.50 Verordnung vom 15. September 2017100 über die Informationssysteme im
Berufsbildungs- und im Hochschulbereich Art. 20, 21 Abs. 1 Bst. a
Der Verweis wird an das nDSG angepasst.
6.51 Forschungs- und Innovationsförderungsverordnung vom 29. November
2013 101 Art. 41a Abs. 3
Der Begriff «Persönlichkeitsprofil» wird gestrichen und der Verweis an die Nummerierung des nDSG angepasst.
6.52 Verordnung vom 30. Juni 1993102 über die Organisation der Bundesstatistik
Art. 9 Abs. 1 zweiter Satz und 4
Diese Änderung betrifft nur den deutschen und italienischen Text. Um die beiden Sprachfas- sungen an die französische Fassung anzugleichen, wird der Ausdruck «administrative Daten- sammlungen» durch «Beständen von administrativen Daten» ersetzt.
Art. 10
Der Verweis auf die Datenschutzgesetzgebung wird angepasst. Entsprechend Artikel 16 Bun- desstatistikgesetz (Ziff. 35 Anhang 1/II nDSG, BStatG) gilt der Verweis auf die Datenschutz- bestimmungen in Absatz 1 nur für Personendaten. Absatz 2, der die Datensicherheit betrifft, findet entsprechend Artikel 15 Absatz 1 BStatG hingegen sowohl auf Personendaten als auch auf Daten juristischer Personen Anwendung. So wird auch in der Botschaft DSG (BBl 2017 6941, 7133) ausgeführt, dass der Grundsatz der Datensicherheit für beide Kategorien von Personen gelten muss.
6.53 Statistikerhebungsverordnung vom 30. Juni 1993 103
Art. 5 Abs. 2 Einleitungssatz und 3
In Artikel 5 Absatz 2 wird der Begriff «Personendaten» durch «Personendaten sowie Daten juristischer Personen» ersetzt. Der Verweis in Absatz 3 wird so angepasst, dass die Bestim- mungen zur Datensicherheit für Daten juristischer Personen sinngemäss zur Anwendung ge- langen (vgl. die Ausführungen bei Ziff. 6.52).
Art. 13m Abs. 1
100 SR 412.108.1 101 SR 420.11 102 SR 431.011 103 SR 431.012.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Aufgrund der Aufhebung des Begriffs «Persönlichkeitsprofil» wurde Artikel 14a des Bundes- statistikgesetzes vom 9. Oktober 1992 104 zu den Datenverknüpfungen geändert (vgl. Ziff. 35 Anhang 1/II nDSG). So wurde der Begriff «Persönlichkeitsprofile» durch den Ausdruck «die wesentlichen Merkmale einer natürlichen oder juristischen Person» ersetzt. Dieselbe Ände- rung wird in Artikel 13m Absatz 1 vorgenommen.
Anhang Ziff. 69 dritte Zeile zweite Spalte, Ziff. 70 dritte Zeile zweite Spalte, Ziff. 71 dritte Zeile zweite Spalte, Ziff. 72, Sachüberschrift, dritte Zeile zweite Spalte, 9. Zeile zweite Spalte, Ziff. 73, dritte Zeile zweite Spalte, Ziff. 74, dritte Zeile zweite Spalte, Ziff. 76, Sachüberschrift, dritte Zeile zweite Spalte, Ziff. 184, dritte Zeile zweite Spalte, Ziff. 201, dritte Zeile zweite Spalte, Inhaltsverzeichnis, Ziff. 72, 76
Der Ausdruck «Datensammlung» wird durch «Datenbank» ersetzt.
6.54 Verordnung vom 26. Januar 2011105 über die Unternehmens-
Identifikationsnummer Art. 3 Abs. 1 Bst. b und d, 8 Abs. 4 und 20 Abs. 3
Der Begriff «Datensammlung» wird durch «Datenbank» ersetzt.
6.55 Verordnung vom 25. Juni 2003106 über die Gebühren und Entschädigungen für
statistische Dienstleistungen von Verwaltungseinheiten des Bundes Art. 1 Bst. d
Der Begriff «Personendaten» wurde durch «Personendaten und Daten juristischer Personen» ersetzt.
6.56 Verordnung vom 9. Juni 2017107 über das eidgenössische Gebäude- und
Wohnungsregister Art. 9 Abs. 2 Bst. f
Die Änderung betrifft nur den deutschen Text. Der Begriff «Datensammlung» wird durch «Da- tenbank» ersetzt.
Art. 18 Abs. 1 Bst. a und Abs. 2
Der Verweis wird an den E-VDSG angepasst. Im Bereich der Statistik gelangen die Bestim- mungen zur Datensicherheit für Daten juristischer Personen sinngemäss zur Anwendung (vgl. die Ausführungen Ziff. 6.52).
104 SR 431.01 105 SR 431.031 106 SR 431.09 107 SR 431.841
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.57 Verordnung vom 30. Juni 1993108 über das Betriebs- und
Unternehmensregister Art. 10 Abs. 4, 14 Abs. 1, 15 Bst. a
Die Verweise werden an das nDSG und den E-VDSG angepasst.
6.58 Verordnung vom 4. September 2013109 über den Verkehr mit Tieren und
Pflanzen geschützter Arten Art. 54 Abs. 1 und 2
In Absatz 1 wird der Verweis an das nDSG angepasst. Absatz 2 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
6.59 Verordnung vom 1. September 2010110 über das elektronische
Informationssystem zur Verwaltung der Tierversuche Art. 18 Abs. 1 und 2
In Absatz 1 wird der Verweis an das nDSG angepasst. Absatz 2 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
6.60 Verordnung vom 4. Dezember 2009 111 über den Nachrichtendienst der Armee
Art. 8 Sachüberschrift und Einleitungssatz
Diese Bestimmung muss aufgrund der Aufhebung des Begriffs «Persönlichkeitsprofil» geän- dert werden. Entsprechend Artikel 99 Absatz 2 MG wird der Ausdruck «einschliesslich Perso- nendaten, welche die Beurteilung des Grades der Gefährlichkeit einer Person erlauben, [...] unabhängig davon, ob es sich um besonders schützenswerte Personendaten handelt oder nicht» eingefügt (vgl. Ziff. 40 Anhang 1/II nDSG).
Art. 9
Nach Artikel 56 nDSG führt der EDÖB ein öffentliches Register der Bearbeitungstätigkeiten, welche die Bundesorgane ihm gemeldet haben (Art. 12 Abs. 4 nDSG), und nicht mehr ein Register der Datensammlungen (Art. 11a Abs. 1 DSG). Gemäss Artikel 99 Absatz 3 Buch- stabe d Militärgesetz (Ziff. 40 Anhang 1/II nDSG) regelt der Bundesrat Ausnahmen zur Re- gistrierung von Datenbearbeitungstätigkeiten, wenn diese die Informationsbeschaffung ge- fährden würden. Artikel 9 Absatz 1 sieht deshalb vor, dass Datenbearbeitungstätigkeiten, die im Rahmen der Informationsbeschaffung nach Artikel 99 Absatz 2 MG durchgeführt werden, im Register der Bearbeitungstätigkeiten nach Artikel 56 nDSG nicht erfasst werden, wenn dies die Informationsbeschaffung gefährden würde. Nach Absatz 2 muss der NDA den EDÖB aber in allgemeiner Form über diese Datenbearbeitungstätigkeiten informieren.
Art. 10 Abs. 2
108 SR 431.903 109 SR 453.0 110 SR 455.61 111 SR 510.291
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Der Begriff «selbstständige Datensammlungen» wird durch «selbstständige Datenbanken» ersetzt.
6.61 Verordnung vom 17. Oktober 2012112 über die elektronische Kriegführung und
die Funkaufklärung Art. 4 Abs. 5
Die Pflicht, Datensammlungen anzumelden, wird durch die Meldung der Verzeichnisse der Bearbeitungstätigkeiten ersetzt.
6.62 Informationsschutzverordnung vom 4. Juli 2007 113
Art. 3 Bst. h
Der Begriff «Datensammlungen» wird durch «Datenbestände» ersetzt. Die französische Fas- sung wurde an die anderen Sprachfassungen angeglichen.
6.63 Geoinformationsverordnung vom 21. Mai 2008114
Art. 3a
Im Anhang zum totalrevidierten DSG wurde eine Änderung von Artikel 11 Absatz 2 Geoinfor- mationsgesetz 115 (GeoIG) vorgenommen. Demnach kann der Bundesrat Ausnahmen von der Pflicht, ein Register der Bearbeitungstätigkeiten zu führen, vorsehen, wenn aufgrund der Be- arbeitung lediglich ein beschränktes Risiko für einen Eingriff in die Grundrechte der betroffe- nen Person besteht. Der Katalog der Geobasisdaten im Anhang 1 der Geoinformationsver- ordnung (GeoIV) enthält nach derzeitigem Stand nur wenig Personendaten und bezüglich der Bearbeitung dieser besteht kein oder nur ein kleines Risiko für einen Eingriff in ein Grund- recht, zumal die betreffende Spezialgesetzgebung des Bundes in aller Regel die Bekannt- gabe der Personendaten ausdrücklich vorsieht. Der Katalog der Geobasisdaten im Anhang 1 entspricht daher den Anforderungen von Artikel 11 Absatz 2 GeoIG. Bei jeder Ergänzung von Anhang 1 muss geprüft werden, ob die Voraussetzungen auch bei den neuen Datensätzen erfüllt sind.
Anhang 1 Identifikator 102, erste Spalte, Identifikator 186, erste Spalte, Identifikator 187, erste Spalte, Identifikator 188, erste Spalte, Identifikator 189, erste Spalte, Identifikator 190, erste Spalte, Identifikator 191, erste Spalte
Der Begriff «Datensammlung» wird durch «Daten» ersetzt.
6.64 Verordnung vom 16. Dezember 2009 116 über die militärischen
Informationssysteme Art. 2a, 2b Bst. b, Anhang 1 Titel und erste Zeile vierte Spalte
Der Begriff «Inhaber der Datensammlung» wird gestrichen.
112 SR 510.292 113 SR 510.411. 114 SR 510.620 115 SR 510.62 116 SR 510.911
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Gliederungstitel vor Art. 72h, 5. Abschnitt, Art. 72h, Art. 72hbis, Art. 72hquater, Art. 72hquinquies, Anhang 35d Titel
Der Begriff «Hilfsdatensammlungen» wird durch «Hilfsdatenbanken» ersetzt.
6.65 Verordnung vom 21. November 2018 117 über die Militärische Sicherheit
Art. 4 Abs. 3
Der Verweis wird an das nDSG angepasst.
Art. 5
Nach Artikel 56 nDSG führt der EDÖB ein öffentliches Register der Bearbeitungstätigkeiten, welche die Bundesorgane ihm gemeldet haben (Art. 12 Abs. 4 nDSG), und nicht mehr ein Register der Datensammlungen (Art. 11a Abs. 1 DSG). Gemäss Artikel 100 Absatz 4 Buch- stabe c Ziffer 2 Militärgesetz (Ziff. 40 Anhang 1/II nDSG) regelt der Bundesrat Ausnahmen von der Pflicht, Verzeichnisse der Bearbeitungstätigkeiten beim EDÖB zur Registrierung zu melden, wenn diese die Informationsbeschaffung gefährden würde. Artikel 5 sieht deshalb vor, dass Datenbearbeitungstätigkeiten, die im Rahmen eines Assistenz- oder eines Aktiv- dienstes durchgeführt werden, im Register der Bearbeitungstätigkeiten nach Artikel 56 nDSG nicht erfasst werden, wenn dies die Informationsbeschaffung und die Erfüllung der Aufgaben nach dieser Verordnung gefährden würde. Nach Absatz 2 muss der NDA den EDÖB aber in allgemeiner Form über diese Datenbearbeitungstätigkeiten informieren. Der Ausdruck «die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte» wird in Absatz 2 gelöscht, da sich der Absatz auf den EDÖB bezieht.
6.66 Waffenverordnung vom 2. Juli 2008 118
Art. 58 Abs. 1 Bst. h, 59 Abs. 1 Einleitungssatz, 59a Abs. 1 Einleitungssatz, 60 Sachüber- schrift, 66a erster Satz, 66b, 66d, 68 Abs. 2 Bst. c, 69 Bst. c und 70 Abs. 1 Bst. c und Abs. 2 Bst. c
Diese Änderung betrifft nur die französische Fassung. Der Begriff «fichier» wird durch «banque de données» ersetzt.
Art. 64
Die Bestimmung wird in zwei Punkten geändert. Einerseits bezieht sich der Verweis auf das Waffengesetz neu auf Artikel 32e Absatz 3 und nicht mehr auf Artikel 32e als ganzen. Ande- rerseits wird Artikel 64 an die Terminologie von Artikel 16 nDSG und die angemessenen Ga- rantien nach den Artikeln 9-12 E-VDSG angepasst.
Art. 65, 66b und 66c Abs. 1 Bst. a
Die Verweise werden an das nDSG bzw. den E-VDSG angepasst.
117 SR 513.61 118 SR 514.541
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 66a zweiter Satz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.67 Verordnung vom 12. August 2015119 über die Meldestelle für lebenswichtige
Humanarzneimittel Art. 8 Abs. 2 Bst. a
Der Verweis wird an den E-VDSG angepasst.
6.68 Finanzhaushaltverordnung vom 5. April 2006 120
Art. 1 Abs. 2, 26 Abs. 2
Der EDÖB verfügt nach dem nDSG über neue Budgetkompetenzen. Gemäss Artikel 45 nDSG reicht der EDÖB den Entwurf seines Budgets jährlich über die Bundeskanzlei dem Bundesrat ein, der diesen unverändert an die Bundesversammlung weiterleitet. Im Parla- mentsgesetz (Ziff. 12 Anhang 1/II nDSG, ParlG) wird in Artikel 142 Absatz 2 daher neu vorge- sehen, dass der Bundesrat den Entwurf für den Voranschlag sowie die Rechnung des EDÖB unverändert in seinen Entwurf für den Voranschlag und in die Rechnung des Bundes auf- nimmt. Gemäss Absatz 3 vertritt der EDÖB den Entwurf für seinen Voranschlag und seine Rechnung vor der Bundesversammlung. Aufgrund dieser Änderungen müssen auch Artikel 1 Absatz 2 und Artikel 26 Absatz 2 der Finanzhaushaltverordnung angepasst werden.
6.69 Verordnung vom 23. August 2017121 über die Bearbeitung von Personendaten
in der Eidgenössischen Zollverwaltung Art. 226 Abs. 3 Bst. b
Nach Artikel 103 Absatz 1 Einleitungssatz des revidierten Zollgesetzes (Ziff. 48 Anhang 1/II nDSG) darf die Zollverwaltung neu die Identität einer Person durch die Abnahme genetischer Daten festhalten. Die heute in Artikel 226 Absatz 3 Buchstabe b Ziffer 1 vorgesehene Geset- zesgrundlage kann folglich gestrichen werden (vgl. Ziff. 9.2.37 der Botschaft des Bundesrates vom 15. September).
6.70 Verordnung 4. April 2007 122 über den Einsatz von Bildaufnahme-,
Bildaufzeichnungs- und anderen Überwachungsgeräten durch die Eidgenössische Zollverwaltung Art. 10 Abs. 1
Der Verweis wird an das nDSG angepasst.
119 SR 531.215.32 120 SR 611.01 121 SR 631.061 122 SR 631.053
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.71 Datenbearbeitungsverordnung für die EZV vom 23. August 2017 123
Art. 8 und 12 Abs. 1
Der Verweis wird an das nDSG bzw. den E-VDSG angepasst. In Artikel 12 wird der Verweis auf die Artikel 20 und 21 VDSG daher durch die Artikel 1–3 und 5 E-VDSG ersetzt.
Anhang 73
Im ganzen Anhang 73 wird «Hilfsdatensammlung» durch «Hilfsdatenbank» ersetzt.
6.72 Verordnung vom 12. Oktober 2011124 über die Statistik des Aussenhandels
Art. 13
Der Begriff «Datensammlungen» wird durch «Datenbanken» ersetzt.
6.73 Mehrwertsteuerverordnung vom 27. November 2009 125
Art. 135 Abs. 2
Diese Änderung erfolgt im Rahmen der im Anhang des DSG vorgenommenen Anpassung von Artikel 14 Absatz 3 Nationalbankgesetz 126 zur Schaffung einer Rechtsgrundlage für den Datenaustausch zwischen der SNB, der ESTV und dem BFS für statistische Zwecke. 127
6.74 Energieverordnung vom 1. November 2017128
Art. 70
Entsprechend der Änderung im Energiesatz (Ziff. 56 Anhang 1/II nDSG) wird der Begriff «Personendaten» durch «Personendaten sowie Daten juristischer Personen» ersetzt. Aus- serdem wird der Ausdruck «administrative und strafrechtliche Verfolgungen und Sanktionen» entsprechend der Vorgabe in Artikel 5 Buchstabe c nDSG durch «verwaltungs- und straf- rechtliche Verfolgungen oder Sanktionen» ersetzt.
6.75 Verordnung vom 9. Juni 2006129 über die Anforderungen an das Personal von
Kernanlagen Art. 39 Abs. 1 Einleitungssatz
Der Begriff «Persönlichkeitsprofils» wird gestrichen.
123 SR 631.061 124 SR 632.14 125 SR 641.201 126 SR 951.11 Vgl. Botschaft DSG vom 15. September 2017 (BBl 2017 6941, 7148 f.) 128 SR 730.01 129 SR 732.143.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.76 Verordnung vom 9. Juni 2006130 über die Betriebswachen von Kernanlagen
Art. 18 Abs. 1
Der Begriff «Persönlichkeitsprofils» wird gestrichen.
6.77 Stromversorgungsverordnung vom 14. März 2008 131
Art. 8d Abs. 1, Abs. 2 Bst. a und 3
Der Ausdruck «Persönlichkeitsprofile» wird gestrichen. Entsprechend der Änderung im Stromversorgungsgesetz (Ziff. 59 Anhang 1/II nDSG, StromVG) wird der Begriff «Personen- daten» durch «Personendaten sowie Daten juristischer Personen» ersetzt.
Art. 8d Abs. 5 zweiter und dritter Satz
Der Verweis wird an den E-VDSG angepasst. Entsprechend der Änderung in Artikel 17c Ab- satz 1 StromVG werden die Bestimmungen der VDSG für Daten juristischer Personen sinn- gemäss für anwendbar erklärt.
6.78 Verordnung vom 30. November 2018 132 über das Informationssystem
Strassenverkehrsunfälle Ingress
Die Bestimmungen des nDSG werden angepasst.
Art. 17 Abs. 4
Der Verweis wird an das nDSG und den E-VDSG angepasst.
6.79 Verordnung vom 30. November 2018 133 über das Informationssystem
Verkehrszulassung Ingress
Die Bestimmungen des nDSG werden angepasst.
Art. 18 Abs. 5
Der Verweis wird an den E-VDSG angepasst.
130 SR 732.143.2 131 SR 734.71 132 SR 741.57 133 SR 741.58
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.80 Videoüberwachungsverordnung ÖV vom 4. November 2009 134
Art. 6 Abs. 2
Der Verweis wird an den E-VDSG angepasst.
6.81 Verordnung vom 17. Dezember 2014 135 über die Sicherheitsuntersuchung von
Zwischenfällen im Verkehrswesen Art. 19
In Absatz 2 wird der Verweis an den E-VDSG angepasst. In der französischen Fassung wurde eine formelle Anpassung vorgenommen, damit wie in den anderen Sprachfassungen neu zwei Absätze bestehen.
6.82 Verordnung vom 2. September 2015136 über die Zulassung als
Strassentransportunternehmen im Personen- und Güterverkehr Art. 14
Die Norm wird in ihrer Formulierung angepasst, um sie an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen.
6.83 Verordnung vom 4. November 2009 137 über die Personenbeförderung
Art. 58b Abs. 1
Die Norm wird in ihrer Formulierung angepasst, um sie an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen.
6.84 Verordnung vom 18. Dezember 1995 138 über den Flugsicherungsdienst
Art. 40a Abs. 2
Der Begriff «Datensammlung» wird durch den Begriff «Datenbank» ersetzt.
6.85 Verordnung vom 15. November 2017 über die Überwachung des Post- und
Fernmeldeverkehrs 139 Art. 8 Abs. 2
Die Ausdrücke «Datenschutzbeauftragte» und «Datenschutzbeauftragter» werden durch «Datenschutzberaterin» und «Datenschutzberater» ersetzt.
134 SR 742.147.2 135 SR 742.161 136 SR 744.103 137 SR 745.11 138 SR 748.132.1 139 SR 780.11
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.86 Verordnung vom 15. November 2017 140 über das Verarbeitungssystem für die
Überwachung des Post- und Fernmeldeverkehrs Art. 7 Abs. 4, 8 Abs. 2 erster Satz
Der Verweis wird an den E-VDSG und das nDSG angepasst.
6.87 Verordnung vom 9. März 2007141 über Fernmeldedienste
Art. 48 Abs. 3 zweiter Satz
Der Ausdruck «administrative und strafrechtliche Verfolgungen und Sanktionen» wird ent- sprechend der Vorgabe in Artikel 5 Buchstabe c nDSG durch «verwaltungs- und strafrechtli- che Verfolgungen oder Sanktionen» ersetzt.
Art. 89
Der Verweis wird an das nDSG angepasst.
6.88 Verordnung vom 6. Oktober 1997142 über die Adressierungselemente im
Fernmeldebereich Art. 13l Abs. 2
Der Verweis wird an das nDSG angepasst.
6.89 Verordnung vom 5. November 2014 143 über Internet-Domains
Art. 17 Abs. 2 Bst. f
Der Verweis wird an das nDSG angepasst.
6.90 Fortpflanzungsmedizinverordnung vom 4. Dezember 2000 144
Art. 19a Abs. 2 zweiter Satz
Der Verweis wird an das nDSG angepasst.
6.91 Verordnung vom 14. Februar 2007145 über genetische Untersuchungen beim
Menschen Art. 21 Abs. 3
Der Verweis wird an das nDSG angepasst.
140 SR 780.12 141 SR 784.101.1 142 SR 784.104 143 SR 784.104.2 144 SR 810.112.2 145 SR 810.122.1
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.92 Transplantationsverordnung vom 16. März 2007 146
Art. 48 Abs. 3, 49 zweiter Satz
Der Verweis wird an das nDSG und den E-VDSG angepasst.
Art. 49c Abs. 1 erster Satz
Der Begriff «Inhaber der Datensammlung» wird gestrichen. Dies bringt keine materiell-rechtli- che Änderung mit sich.
6.93 Überkreuz-Lebendspende-Verordnung vom 18. Oktober 2017 147
Art. 21 Abs. 1 erster Satz
Der Begriff «Inhaber der Datensammlung» wird gestrichen. Dies bringt keine materiell-rechtli- che Änderung mit sich.
6.94 Organzuteilungsverordnung vom 16. März 2007 148
Art. 34c Abs. 1 erster Satz
Der Begriff «Inhaber der Datenbank» wird gestrichen. Dies bringt keine materiell-rechtliche Änderung mit sich.
Art. 34i Abs. 1 Bst. a
Der Verweis auf die Artikel 20 und 21 VDSG wird durch die Artikel 1–3 und 5 E-VDSG er- setzt.
6.95 Humanforschungsverordnung vom 20. September 2013 149
Art. 26 Abs. 2
In der deutschen Fassung wird der Begriff «Datensammlung» durch «Personendaten» er- setzt.
6.96 Organisationsverordnung HFG vom 20. September 2013 150
Art. 11 Abs. 2 Bst. a und b
Artikel 11 regelt die Pflicht der Vollzugsbehörde, der betroffenen Person mitzuteilen, wenn sie Personendaten über sie bekanntgibt.
146 SR 810.211 147 SR 810.212.3 148 SR 810.212.4 149 SR 810.301 150 SR 810.308
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Die Ausnahmen nach Absatz 2 Buchstaben a und b entsprechen nicht den Vorschriften nach Artikel 20 Absatz 1 Buchstaben a und b nDSG. Absatz 2 Buchstabe a muss folglich ange- passt werden. Die Ausnahme nach Absatz 2 Buchstabe b muss gestrichen werden, da sie in Artikel 20 nDSG nicht vorgesehen ist.
Art. 12 Abs. 2, 3 und 4
Diese Bestimmung regelt den Austausch von Daten mit ausländischen Behörden und Institu- tionen. Absatz 1 bleibt im Vergleich mit dem geltenden Recht unverändert. Die Absätze 2 und 3 tragen den neuen Anforderungen nach den Artikeln 16 Absätze 1 und 2 Buchstabe c und
17 Absatz 1 Buchstaben a und d nDSG Rechnung.
Absatz 4 übernimmt die Regelung von Artikel 19 Absatz 4 nDSG.
6.97 Prüfungsverordnung MedBG vom 26. November 2008151
Art. 26 Abs. 2
Die Norm wird in ihrer Formulierung angepasst, um sie an die Vorgaben von Artikel 20 Ab- satz 1 E-VDSG anzugleichen. Aufgrund der Sensibilität der bearbeiteten Personendaten kann im Unterschied zu Artikel 20 Absatz 1 E-VDSG die Auskunft nur mittels schriftlichem Gesuch verlangt werden.
6.98 Arzneimittel-Bewilligungsverordnung vom 14. November 2018 152
Art. 66 Bst. b
Diese Änderung betrifft nur die deutsche Fassung. Der Begriff «Daten über administrative und strafrechtliche Verfolgungen und Sanktionen» wird in Artikel 5 Buchstabe c Ziffer 5 nDSG durch «Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen» ersetzt.
Art. 68 Abs. 2
Der erste Satz wird so angepasst, dass alle Zugriffe auf das Informationssystem protokolliert werden. Ausserdem wird die Aufbewahrungsdauer der Protokolle gemäss dem zweiten Satz und entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Protokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.99 Arzneimittelverordnung vom 21. September 2018 153 über die Arzneimittel
Art. 76 Abs. 2 zweiter Satz
In der französischen Fassung wird eine formelle Änderung vorgenommen, um den ersten Satz an die deutsche Version anzugleichen. Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie
151 SR 811.113.3 152 SR 812.212.1 153 SR 812.212.21
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
gemäss Artikel 3 Absatz 4 E-VDSG sind die Protokolle getrennt vom System, in dem die Per- sonendaten bearbeitet werden, aufzubewahren.
6.100 Tierarzneimittelverordnung vom 18. August 2004 154
Art. 36 Sachüberschrift und Abs. 5
In der Sachüberschrift wird der Begriff «Datensammlung» durch «Datenbearbeitung» ersetzt. In Absatz 5 wird der Verweis an das nDSG angepasst.
6.101 Medizinprodukteverordnung vom 1. Juli 2020155
Art. 84 Abs. 1 und 2
Der Verweis wird an den E-VDSG angepasst. In Absatz 2 wird der Verweis auf Artikel 20 und
21 VDSG wird durch Artikel 1-3 und 5 E-VDSG ersetzt.
Art. 92 und Anhang 3, 2 Schweizerisches Recht, Ziff. 13, zweite Spalte
Der Verweis wird an das nDSG angepasst.
6.102 Verordnung vom 31. Oktober 2018 156 über das Informationssystem Antibiotika in der Veterinärmedizin Art. 13
In Absatz 1 wird der Verweis an das nDSG angepasst. Absatz 2 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
6.103 Störfallverordnung vom 27. Februar 1991157
Art. 17 Sachüberschrift
In der deutschen Fassung wird «Datensammlung» durch «Datenerhebung» ersetzt.
6.104 Verordnung vom 22. März 2017 158 über das elektronische Patientendossier
Art. 12 Abs. 1 zweiter Satz Bst. b
Nach Absatz 1 Buchstabe b des geltenden Rechts müssen die Gemeinschaften ein risikoge- rechtes Datenschutz- und Datensicherheitsmanagementsystem betreiben, das insbesondere ein Inventar der Informatikmittel und Datensammlungen umfassen muss. Da die Verantwortli- chen im nDSG (Art. 12) neu verpflichtet werden, ein Verzeichnis ihrer Bearbeitungstätigkeiten zu führen, muss die Bestimmung geändert werden.
154 SR 812.212.27 155 SR 812.213 156 SR 812.214.4 157 SR 814.012 158 SR 814.012
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.105 Verordnung vom 27. Mai 2020159 über den Vollzug der
Lebensmittelgesetzgebung Art. 97 Abs. 1, 2 und 3
Die Absätze 1 und 2 von Artikel 97 müssten an die Terminologie des nDSG angepasst wer- den. Da sie im Vergleich zum nDSG und zum E-VDSG keinen zusätzlichen normativen Inhalt normieren, werden sie aufgehoben.
Absatz 3 betrifft nur die deutsche Fassung. Der Begriff «Daten über administrative und straf- rechtliche Verfolgungen und Sanktionen» in Artikel 5 Buchstabe c Ziffer 5 nDSG durch «Da- ten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen» ersetzt.
Art. 98 Abs. 4
In Absatz 4 wird der Ausdruck «unbedingt» gelöscht, um den Absatz an die Terminologie in Artikel 6 Absatz 4 nDSG anzugleichen. Es sollen nur diejenigen Personendaten bekanntge- geben werden dürfen, die für die Empfängerin bzw. den Empfänger erforderlich sind.
6.106 Epidemienverordnung vom 29. April 2015160
Art. 90 Sachüberschrift
Aufgrund der Aufhebung des Begriffs der Datensammlung wird die Sachüberschrift von Arti- kel 90 angepasst.
Art. 96
Der Verweis auf die Artikel 20 und 21 VDSG wird durch die Artikel 1–3 und 5 E-VDSG er- setzt.
Art. 97 zweiter Satz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.107 Verordnung vom 29. April 2015 161 über mikrobiologische Laboratorien
Art. 23 Abs. 1 zweiter Satz
Diese Änderung betrifft nur die französische Fassung. Der Begriff «fichier» wird durch «dos- sier» ersetzt.
159 SR 817.042 160 SR 818.101.1 161 SR 818.101.32
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.108 Krebsregistrierungsverordnung vom 11. April 2018 162
Art. 30 Abs. 4
Diese Änderung betrifft nur die französische Fassung. Der Begriff «fichier de données» wird durch «ensembles de données» ersetzt.
6.109 Verordnung 1 vom 10. Mai 2000163 zum Arbeitsgesetz
Ingress, Art. 89 und 90
Die Verweise werden an das nDSG angepasst.
6.110 Chauffeurverordnung vom 19. Juni 1995 164
Art. 18 Abs. 6
Die Verweise werden an das nDSG und den E-VDSG angepasst.
6.111 Verordnung gegen die Schwarzarbeit vom 6. September 2006165
Art. 9 Sachüberschrift und Abs. 1 sowie 9a
Da durch das nDSG der Schutz der Personendaten juristischer Personen aufgehoben wird, wird in Artikel 17a des Entwurfs zur Revision des Bundesgesetzes gegen die Schwarzarbeit eine neue Gesetzesgrundlage eingefügt, gestützt auf welche die kantonalen Kontrollorgane und die zuständigen kantonalen Behörden befugt sind, Daten juristischer Personen zu bear- beiten (Ziff. 78 Anhang 1/II nDSG). Gemäss dem Revisionsentwurf werden die Sachüber- schrift und Absatz 1 von Artikel 9 der Verordnung gegen die Schwarzarbeit so angepasst, dass die Bestimmung neu ausschliesslich den Schutz von Personendaten regelt. Es wird zu- dem ein neuer Artikel 9a eingefügt, der die Bearbeitung von Daten juristischer Personen re- gelt. Artikel 9a enthält in Absatz 1 eine analoge Regelung zu Artikel 9 Absatz 1. Artikel 9 Ab- sätze 2-4 gelten gemäss Artikel 9a Absatz 2 sinngemäss für Daten juristischer Personen.
6.112 Arbeitsvermittlungsverordnung vom 16. Januar 1991166
Art. 58 Sachüberschrift und Abs. 1
Artikel 58 der Arbeitsvermittlungsverordnung regelt das Recht der betroffenen Person, von den Diensten, die Daten über sie bearbeiten, Auskunft zu erhalten.
Er wird an die neuen Vorgaben des nDSG angepasst, namentlich an Artikel 19 nDSG (Infor- mationspflicht bei der Beschaffung von Personendaten), 25 nDSG (Auskunftsrecht) und 41 nDSG (Ansprüche und Verfahren).
162 SR 818.331 163 SR 822.111 164 SR 822.221 165 SR 822.411 166 SR 823.111
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Die erste Änderung betrifft die Sachüberschrift von Artikel 58, die nicht korrekt ist. Wie im Fol- genden dargelegt wird, regelt die Bestimmung verschiedene Rechte der betroffenen Perso- nen, und nicht nur das Auskunftsrecht.
Wie im geltenden Recht regelt Absatz 1 die Pflicht, die betroffene Person zu informieren. Der Katalog der zu liefernden Informationen wird jedoch erweitert. Nach dem neuen Absatz 1 werden Stellensuchende und Arbeitgeber, die sich bei der Arbeitsmarktbehörde melden, neu orientiert über die Identität und die Kontaktdaten des Verantwortlichen des Informationssys- tems (Bst. a). Abgesehen von redaktionellen Anpassungen bleiben die Informationen nach den Buchstaben b, c und e dieselben. Die Information nach Buchstabe d wird dahingehend geändert, dass die betroffene Person nicht mehr über «die regelmässigen Empfänger» orien- tiert werden muss, sondern über alle Empfängerinnen und Empfänger, denen die Personen- daten bekanntgegeben werden.
Art. 59a
Die Änderung betrifft nur den französischen Text. Der Begriff «fichier» wird durch «registre» ersetzt.
6.113 AVAM-Verordnung vom 1. November 2006167
Art. 2 Bst. a
Die Änderung betrifft nur den französischen Text. Der Begriff «fichier» wird mit den nötigen grammatikalischen Anpassungen durch «banque de données» ersetzt.
Art. 10 Abs. 3
Absatz 3 regelt die Inhalte des Bearbeitungsreglements. Neu wird an Stelle dessen auf die entsprechende Bestimmung im E-VDSG verwiesen.
Art. 11 Abs. 1, 2 erster Satz und 4
In Absatz 1 wird der Verweis an das nDSG angepasst. Absatz 2 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen. Da in Ab- satz 1 allgemein auf das nDSG verwiesen wird, wird Absatz 4 aufgehoben, sodass auf eine Anpassung verzichtet werden kann. Der Gehalt dieses Absatzes ist nämlich in Artikel 41 Ab- satz 2 DSG zu finden.
6.114 Zivildienstverordnung vom 11. September 1996 168
Art. 110 Sachüberschrift und Abs. 1 sowie 2 Einleitungssatz
Der Begriff «Datensammlung» wird durch «Datenbank» ersetzt.
167 SR 823.114 168 SR 824.01
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.115 Verordnung vom 20. August 2014169 über das Informationssystem des
Zivildienstes Art. 11 Abs. 1 Bst. a, 13 Abs. 1
Der Verweis wird an die neue Datenschutzgesetzgebung angepasst.
Art. 11 Abs. 4
Die Bestimmung wird an die Protokollierungsanforderungen gemäss E-VDSG angepasst.
6.116 Verordnung vom 11. September 2002 170 über den Allgemeinen Teil des
Sozialversicherungsrechts Art. 8b Abs. 2 dritter Satz, 9 Abs. 2 zweiter Satz
Der Verweis wird an die neue Datenschutzgesetzgebung angepasst.
6.117 Verordnung vom 31. Oktober 1947171 über die Alters- und
Hinterlassenenversicherung Art. 134quinquies Abs. 1 und 2
Der Begriff «Datensammlungen» wird durch «Datenbanken» ersetzt. Absatz 2 wird ausser- dem an die französische Fassung angeglichen, indem der zweifach genannte Ausdruck "von der Zentralen Ausgleichsstelle" einmal gestrichen wird.
6.118 Verordnung vom 27. Juni 1995172 über die Krankenversicherung
Art. 30c erster Satz
Der Verweis wird an die neue Nummerierung des E-VDSG angepasst.
Art. 59a Abs. 1 und 3 erster Satz, 6 zweiter Satz und 7 erster Satz
Die Änderungen an den Absätzen 1 und 3 erster Satz betreffen nur den französischen Text. Der Begriff «fichier» wird durch «ensemble» ersetzt. Der französische Text wird so an den deutschen und den italienischen Text angeglichen («Datensatz» bzw. «insieme di dati»).
Die Verweise in den Absätzen 6 zweiter Satz und 7 erster Satz werden an die Nummerierung des nDSG angepasst.
Art. 59a Abs. 7
Der Begriff «Beauftragte» wird durch «Eidgenössischer Datenschutz- und Öffentlichkeitsbe- auftragter» und «EDÖB» ersetzt.
Art. 59ater Abs. 1
169 SR 824.095 170 SR 830.11 171 SR 831.101 172 SR 832.102
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Der Verweis auf die Artikel 21 und 22 VDSG wird durch die Artikel 1–3 und 5 E-VDSG er- setzt, da die Regelung der Datensicherheit im 1. Abschnitt als Einheit zu betrachten ist. Die Bestimmungen zur Auftragsbearbeitung gelten im Rahmen ihres Geltungsbereichs ohnehin.
6.119 Verordnung vom 20. Dezember 1982 173 über die Unfallversicherung
Art. 72a Abs. 2 zweiter Satz
Der Verweis wird an den E-VDSG angepasst.
6.120 Familienzulagenverordnung vom 31. Oktober 2007 174
Art. 18h Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst.
6.121 Arbeitslosenversicherungsverordnung vom 31. August 1983 175
Art. 126 Abs. 1
Siehe die Erläuterungen zu Artikel 58 des Entwurfs zur Revision der Arbeitsvermittlungsver- ordnung vom 16. Januar 1991 (Ziff. 6.112).
Ausserdem wurde in Artikel 126 Absatz 1 der Begriff «Informationssystem» in der Mehrzahl verwendet, da mehrere Informationssysteme bestehen.
6.122 LAMDA-Verordnung vom 25. Oktober 2017176
Art. 17 Abs. 2
Der Verweis wird an das nDSG angepasst.
6.123 SAS-EDA-Verordnung vom 5. November 2014177
Art. 10 Abs. 1
Artikel 10 Absatz 1 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Arti- kel 20 Absatz 1 E-VDSG anzugleichen.
Art. 12 Abs. 1 Bst. a
Der Verweis wird an den E-VDSG angepasst.
Art. 13 zweiter Satz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die
173 SR 832.202 174 SR 836.21 175 SR 837.02 176 SR 837.063.2 177 SR 852.12
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Protokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewah- ren.
6.124 GUB/GGA-Verordnung vom 28. Mai 1997 178
Art. 19 Abs. 2 Bst. d Ziff. 4, 21b Abs. 2 Bst. d
Der Verweis wird an das nDSG angepasst.
6.125 Bio-Verordnung vom 22. September 1997179
Art. 33 Bst. c Ziff. 6
Der Verweis wird an das nDSG angepasst.
6.126 Berg- und Alp-Verordnung vom 25. Mai 2011180
Art. 11 Abs. 1 Bst. d Ziff. 4
Der Verweis wird an das nDSG angepasst.
6.127 Verordnung vom 6. Juni 2014181 über die Informationssysteme für den
öffentlichen Veterinärdienst Art. 11 zweiter Satz
Der zweite Satz wird aufgehoben, da der Begriff «Persönlichkeitsprofile» auch in Artikel 54a TSG gestrichen wurde (Ziff. 86 Anhang 1/II nDSG).
Art. 26
Der Verweis wird an den E-VDSG angepasst. Absatz 2 wird in seiner Formulierung ange- passt, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
6.128 Verordnung vom 18. November 2015 182 über die Ein-, Durch- und Ausfuhr von
Tieren und Tierprodukten im Verkehr mit Drittstaaten Art. 102e
Der Verweis wird an das nDSG angepasst. Absatz 2 wird in seiner Formulierung angepasst, um ihn an die Vorgaben von Artikel 20 Absatz 1 E-VDSG anzugleichen.
178 SR 910.12 179 SR 910.18 180 SR 910.19 181 SR 916.408 182 SR 916.443.10
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
6.129 Verordnung vom 26. Juni 2013183 über die Meldepflicht und die Nachprüfung
der Berufsqualifikationen von Dienstleistungserbringerinnen und -erbringern in reglementierten Berufen Gliederungstitel vor Art. 9 und Art. 9 Abs. 1
Der Begriff «Datensammlung» wird durch «Datenbearbeitung» und «sammelt» durch «be- schafft» ersetzt.
6.130 Verordnung vom 24. Juni 2015184 die im Ausland erbrachten privaten
Sicherheitsdienstleistungen Art. 12 Abs. 1 Einleitungssatz, Abs. 3 Einleitungssatz und 4
Die Änderungen in den Absätzen 1 und 3 betreffen nur die deutsche Fassung. Der Begriff «Daten über administrative und strafrechtliche Verfolgungen und Sanktionen» wird entspre- chend Artikel 5 Buchstabe c Ziffer 5 nDSG durch «Daten über verwaltungs- und strafrechtli- che Verfolgungen oder Sanktionen» ersetzt. In Absatz 4 wird der Verweis an das nDSG an- gepasst.
6.131 Verordnung vom 12. August 2015185 über das Datenbearbeitungssystem
private Sicherheitsdienstleistungen Art. 9 Abs. 1 Bst. a
Der Verweis wird an das nDSG angepasst.
Art. 10 Abs. 2
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
6.132 Geldspielverordnung vom 7. November 2018 186
Art. 73 Abs. 3
Der Verweis wird an das nDSG angepasst.
6.133 Sprengstoffverordnung vom 27. November 2000 187
Gliederungstitel 9a, Art. 117a, 117b, 117f Abs. 2 Einleitungssatz
In der französischen Fassung wird der Begriff «fichier électronique» durch «banque de données» ersetzt.
183 SR 935.011 184 SR 935.411 185 SR 935.412 186 SR 935.511 187 SR 941.411
Erläuternder Bericht zur Revision der Verordnung zum Bundesgesetz über den Datenschutz
Art. 117g zweiter Satz
Die Aufbewahrungsdauer der Protokolle wird entsprechend der Vorgabe in Artikel 3 Absatz 4 E-VDSG neu auf zwei Jahre festgelegt. Wie gemäss Artikel 3 Absatz 4 E-VDSG sind die Pro- tokolle getrennt vom System, in dem die Personendaten bearbeitet werden, aufzubewahren.
Art. 117i, 117j Abs. 1 Bst. a und 117k
Der Verweis wird an das nDSG angepasst. Der Begriff «fichier» wird in der französischen Fassung in Artikel 117i gestrichen.
Anhang 14 Ziff. 13 Sachüberschrift und Abs. 1
In der französischen Fassung wird der Begriff «fichier» durch «registre» ersetzt.
6.134 Verordnung vom 25. August 2004188 über die Meldestelle für Geldwäscherei
Art. 13 Abs. 1 Bst. a
Die Formulierung wurde angepasst, da Artikel 13 Absatz 2 ZentG keine Voraussetzungen mehr enthält, sondern auf die Vorgaben im StGB verweist.
Art. 19 Abs. 1 Bst. a, 26 Abs. 1 dritter Satz
Der Verweis wird an das nDSG angepasst. In Artikel 26 Absatz 1 dritter Satz wird der Aus- druck «Bundesamt» ausserdem durch «Staatssekretariat» ersetzt.
Art. 25 Abs. 1 erster Satz
Die Bestimmung wird entsprechend der Vorgabe in Artikel 1 E-VDSG um die «Vollständig- keit» ergänzt.
188 SR 955.23